信息來源:Cnbeta
今天微軟發(fā)布了兩個不定期的例外(Out-of-Band)安全更新����,重點修復了 Windows Codecs 庫和Visual Studio Code 應用中的安全問題�����。這兩個例外安全更新是本月補丁星期二活動日之后再發(fā)布的����,主要修復了兩款產(chǎn)品中的“遠程代碼執(zhí)行”漏洞,能夠讓攻擊者在受影響的設備上遠程執(zhí)行代碼���。
第一個錯誤被標記為 CVE-2020-17022��。微軟表示攻擊者可以通過制作含有惡意程序的圖像�,當 Windows 應用處理該圖像的時候能夠在未修復的設備上遠程執(zhí)行代碼����。微軟表示對于 Windows Codecs 庫的更新將通過 Microsoft Store 自動安裝在用戶系統(tǒng)中�。
并非所有用戶都會受到影響,只有安裝了 Microsoft Store 可選 HEVC 或“來自設備制造商的HEVC”媒體編解碼器的用戶才會受到影響�����。HEVC 不可用于離線 分發(fā)����,只能通過 Microsoft Store 使用�����。Windows Server也不支持該庫����。
第二個錯誤被標記為 CVE-2020-17023��。微軟表示�,攻擊者可以制作惡意的 package.json 文件,當將它們加載到 Visual Studio Code 中時��,它們可以執(zhí)行惡意代碼����。基于用戶的權限����,攻擊者的代碼可以使用管理員特權執(zhí)行,并允許他們完全控制受感染的主機�����。Package.json 文件通常與JavaScript庫和項目一起使用。
