Microsoft今天发布了两个带外安全更新,以解决Windows Codecs库和Visual Studio Code应用程序中的安全问题。
这两个更新是在公司于本周早些时候(周二)发布每月的安全更新批后发布的, 本月补丁了87个漏洞。
这两个新漏洞都是“远程代码执行”漏洞,使攻击者可以在受影响的系统上执行代码。
WINDOWS编解码器库漏洞
第一个错误被跟踪为CVE-2020-17022。微软表示,攻击者可以制作恶意图像,当这些恶意图像由运行在Windows之上的应用程序处理时,可以允许攻击者在未修补的Windows操作系统上执行代码。
所有Windows 10版本均会受到影响。
微软表示,该库的更新将通过Microsoft Store自动安装在用户系统上。
并非所有用户都会受到影响,只有安装了Microsoft Store可选HEVC或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。
HEVC不可用于脱机分发,只能通过Microsoft Store使用。Windows Server也不支持该库。
要检查并查看您是否正在使用易受攻击的HEVC编解码器,用户可以转到 “设置”,“应用和功能”,然后选择“ HEVC”,“高级选项”。安全版本为1.0.32762.0、1.0.32763.0和更高版本。
VISUAL STUDIO CODE漏洞
第二个错误被跟踪为CVE-2020-17023。微软表示,攻击者可以制作恶意的package.json文件,当将它们加载到Visual Studio Code中时,它们可以执行恶意代码。
根据用户的权限,攻击者的代码可以使用管理员特权执行,并允许他们完全控制受感染的主机。
Package.json文件通常与JavaScript库和项目一起使用。JavaScript,尤其是其服务器端Node.js技术,是当今最受欢迎的技术之一。
建议Visual Studio Code用户尽快将应用程序更新为最新版本。
