A Microsoft lança atualização fora de banda para a biblioteca de Codecs do Windows e Visual Studio Code para corrigir vulnerabilidades graves

A Microsoft lançou duas correções fora de banda para a biblioteca de Codecs do Windows e o Visual Studio Code para solucionar vulnerabilidades de execução remota de código em ambas as plataformas.

O bug do Windows envolveu o Biblioteca de codecs do Windows HEVC e afeta todas as versões do Windows.

Detalhado no CVE-2020-17022, a Microsoft diz que os invasores podem criar imagens maliciosas que, quando processadas por um aplicativo executado no Windows, podem permitir que o invasor execute código em um sistema operacional Windows sem patches.

Somente aqueles que instalaram o HEVC opcional ou “HEVC do fabricante do dispositivo” codecs de mídia da Microsoft Store são afetados e a Microsoft está distribuindo o patch diretamente através da Microsoft Store.

Para ver se você tem uma versão vulnerável instalada, vá para Configurações, Aplicativos e recursos e selecione HEVC, Opções avançadas. As versões anteriores a 1.0.32762.0, 1.0.32763.0 não são seguras.

A outra vulnerabilidade afeta Código do Visual Studio.

Rastreado pelo CVE-2020-17023, a Microsoft diz que os invasores podem criar arquivos package.json maliciosos que, quando carregados no Visual Studio Code, podem executar código malicioso. Se os usuários estiverem executando como administradores, o código será executado com esses privilégios.

Uma versão atualizada do Visual Studio Code está disponível e a Microsoft recomenda a atualização o mais rápido possível.

via ZDNet