Microsoft випустила позасмугове оновлення для бібліотеки кодеків Windows і коду Visual Studio, щоб виправити серйозні вразливості

Корпорація Майкрософт випустила два позасмугових виправлення для бібліотеки кодеків Windows і Visual Studio Code для усунення вразливостей віддаленого виконання коду на обох платформах.

Помилка Windows пов’язана з Бібліотека кодеків Windows HEVC і впливає на всі версії Windows.

Детально описано в CVE-2020-17022, Microsoft стверджує, що зловмисники можуть створювати шкідливі зображення, які, коли їх обробляє програма, що працює поверх Windows, може дозволити зловмиснику виконувати код на невиправленій ОС Windows.

Це стосується лише тих, хто встановив додатковий мультимедійний кодек HEVC або “HEVC від виробника пристроїв” із магазину Microsoft Store, і Microsoft розповсюджує виправлення безпосередньо через магазин Microsoft.

Щоб побачити, чи встановлена ​​уразлива версія, перейдіть у Налаштування, Програми та функції та виберіть HEVC, Додаткові параметри. Версії раніше 1.0.32762.0, 1.0.32763.0 небезпечні.

Інша вразливість впливає Код візуальної студії.

Відстежуваний згідно CVE-2020-17023, Microsoft каже, що зловмисники можуть створювати шкідливі файли package.json, які при завантаженні в Visual Studio Code можуть виконувати шкідливий код. Якщо користувачі працюють як адміністратори, код буде виконаний з цими привілеями.

Доступна оновлена ​​версія Visual Studio Code, і корпорація Майкрософт рекомендує оновити її якомога швидше.

через ZDNet