Spoločnosť Microsoft vydala mimopásmovú aktualizáciu pre knižnicu kodekov Windows a kód Visual Studio na opravu vážnych zraniteľností

Spoločnosť Microsoft vydala dve mimopásmové opravy pre knižnicu kodekov Windows a kód Visual Studio, ktoré riešia zraniteľné miesta týkajúce sa spustenia vzdialeného kódu na oboch platformách.

Chyba systému Windows sa týkala Knižnica kodekov HEVC Windows a ovplyvňuje všetky verzie systému Windows.

Podrobne v CVE-2020-17022, Microsoft hovorí, že útočníci môžu vytvárať škodlivé obrázky, ktoré pri spracovaní aplikáciou spustenou nad Windowsom môžu útočníkovi umožniť spustiť kód na neoplatenom operačnom systéme Windows.

Týka sa to iba tých, ktorí si nainštalovali voliteľné mediálne kodeky HEVC alebo „HEVC od výrobcu zariadenia“ z Microsoft Store a Microsoft distribuuje opravu priamo cez Microsoft Store.

Ak chcete zistiť, či máte nainštalovanú zraniteľnú verziu, prejdite do časti Nastavenia, Aplikácie a funkcie a vyberte položku HEVC, Rozšírené možnosti. Verzie staršie ako 1.0.32762.0, 1.0.32763.0 sú nezabezpečené.

Ďalšia zraniteľnosť ovplyvňuje Kód Visual Studio.

Spoločnosť Microsoft sledovaná pod číslom CVE-2020-17023 tvrdí, že útočníci môžu vytvárať škodlivé súbory package.json, ktoré po načítaní do kódu Visual Studio Code môžu spustiť škodlivý kód. Ak sú používatelia spustení ako správcovia, kód sa vykoná s týmito oprávneniami.

K dispozícii je aktualizovaná verzia Visual Studio Code a spoločnosť Microsoft odporúča vykonať aktualizáciu čo najskôr.

via ZDNet