Microsoft izdaja izvenpasovno posodobitev za knjižnico kodekov Windows in kodo Visual Studio, da odpravi resne ranljivosti

Microsoft je izdal dva izvenpasovna popravka za knjižnico kodekov Windows in kodo Visual Studio za odpravo ranljivosti oddaljenega izvajanja kode na obeh platformah.

Napaka v sistemu Windows je vključevala Knjižnica kodekov HEVC Windows in vpliva na vse različice sistema Windows.

Podrobno opisano v CVE-2020-17022, Microsoft pravi, da lahko napadalci ustvarijo zlonamerne slike, ki lahko, ko jih obdela aplikacija, ki se izvaja na vrhu sistema Windows, napadalcu omogočijo izvajanje kode na nepopravljenem operacijskem sistemu Windows.

To vpliva samo na tiste, ki so namestili izbirne medijske kodeke HEVC ali “HEVC od proizvajalca naprav” iz trgovine Microsoft Store, Microsoft pa obliž distribuira neposredno prek trgovine Microsoft Store.

Če želite preveriti, ali imate nameščeno ranljivo različico, pojdite v Nastavitve, Aplikacije in funkcije in izberite HEVC, Napredne možnosti. Različice, starejše od 1.0.32762.0, 1.0.32763.0, niso varne.

Druga ranljivost vpliva Koda Visual Studio.

Microsoft, ki mu sledi CVE-2020-17023, pravi, da lahko napadalci izdelujejo zlonamerne datoteke package.json, ki lahko ob nalaganju v kodo Visual Studio izvajajo zlonamerno kodo. Če se uporabniki izvajajo kot skrbniki, se koda izvede s temi privilegiji.

Na voljo je posodobljena različica kode Visual Studio in Microsoft priporoča čimprejšnjo posodobitev.

preko ZDNet