Microsoft ออกอัพเดท out-of-band สำหรับไลบรารี Windows Codecs และ Visual Studio Code เพื่อแก้ไขช่องโหว่ที่ร้ายแรง

Microsoft ได้เผยแพร่การแก้ไขนอกแบนด์สองรายการสำหรับไลบรารี Windows Codecs และ Visual Studio Code เพื่อแก้ไขช่องโหว่ Remote Code Execution ในทั้งสองแพลตฟอร์ม

ข้อบกพร่องของ Windows เกี่ยวข้องกับ ไลบรารี HEVC Windows Codecs และส่งผลกระทบต่อ Windows ทุกรุ่น

รายละเอียดใน CVE-2020-17022 Microsoft กล่าวว่าผู้โจมตีสามารถสร้างภาพที่เป็นอันตรายซึ่งเมื่อประมวลผลโดยแอพที่ทำงานบน Windows สามารถอนุญาตให้ผู้โจมตีรันโค้ดบนระบบปฏิบัติการ Windows ที่ไม่ได้รับการแพตช์

เฉพาะผู้ที่ติดตั้งตัวแปลงสัญญาณสื่อ HEVC หรือ“ HEVC จากผู้ผลิตอุปกรณ์” ที่เป็นอุปกรณ์เสริมจาก Microsoft Store เท่านั้นที่ได้รับผลกระทบและ Microsoft กำลังแจกจ่ายโปรแกรมแก้ไขโดยตรงผ่านทาง Microsoft Store

หากต้องการดูว่าคุณติดตั้งเวอร์ชันที่มีช่องโหว่หรือไม่ให้ไปที่การตั้งค่าแอพและคุณสมบัติแล้วเลือก HEVC ตัวเลือกขั้นสูง เวอร์ชันก่อนหน้า 1.0.32762.0, 1.0.32763.0 ไม่ปลอดภัย

ช่องโหว่อื่น ๆ มีผลต่อ รหัส Visual Studio

ติดตามภายใต้ CVE-2020-17023 Microsoft กล่าวว่าผู้โจมตีสามารถสร้างไฟล์ package.json ที่เป็นอันตรายซึ่งเมื่อโหลดใน Visual Studio Code สามารถรันโค้ดที่เป็นอันตรายได้ หากผู้ใช้ทำงานในฐานะผู้ดูแลระบบรหัสจะถูกเรียกใช้ด้วยสิทธิ์เหล่านั้น

Visual Studio Code เวอร์ชันอัปเดตพร้อมใช้งานแล้วและ Microsoft ขอแนะนำให้อัปเดตโดยเร็วที่สุด

ผ่านทาง ZDNet