安全動(dòng)態(tài)

微軟發(fā)布兩個(gè)緊急安全更新:修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-10-19    瀏覽次數(shù):
 

信息來(lái)源:Cnbeta

今天微軟發(fā)布了兩個(gè)不定期的例外(Out-of-Band)安全更新,重點(diǎn)修復(fù)了 Windows Codecs 庫(kù)和Visual Studio Code 應(yīng)用中的安全問(wèn)題。這兩個(gè)例外安全更新是本月補(bǔ)丁星期二活動(dòng)日之后再發(fā)布的,主要修復(fù)了兩款產(chǎn)品中的“遠(yuǎn)程代碼執(zhí)行”漏洞,能夠讓攻擊者在受影響的設(shè)備上遠(yuǎn)程執(zhí)行代碼。


第一個(gè)錯(cuò)誤被標(biāo)記為 CVE-2020-17022。微軟表示攻擊者可以通過(guò)制作含有惡意程序的圖像,當(dāng) Windows 應(yīng)用處理該圖像的時(shí)候能夠在未修復(fù)的設(shè)備上遠(yuǎn)程執(zhí)行代碼。微軟表示對(duì)于 Windows Codecs 庫(kù)的更新將通過(guò) Microsoft Store 自動(dòng)安裝在用戶系統(tǒng)中。

并非所有用戶都會(huì)受到影響,只有安裝了 Microsoft Store 可選 HEVC 或“來(lái)自設(shè)備制造商的HEVC”媒體編解碼器的用戶才會(huì)受到影響。HEVC 不可用于離線 分發(fā),只能通過(guò) Microsoft Store 使用。Windows Server也不支持該庫(kù)。

第二個(gè)錯(cuò)誤被標(biāo)記為 CVE-2020-17023。微軟表示,攻擊者可以制作惡意的 package.json 文件,當(dāng)將它們加載到 Visual Studio Code 中時(shí),它們可以執(zhí)行惡意代碼?;谟脩舻臋?quán)限,攻擊者的代碼可以使用管理員特權(quán)執(zhí)行,并允許他們完全控制受感染的主機(jī)。Package.json 文件通常與JavaScript庫(kù)和項(xiàng)目一起使用。


 
 

上一篇:微軟敦促各機(jī)構(gòu)立即行動(dòng)確保數(shù)據(jù)隱私而不是等待和依賴立法

下一篇:2020年10月19日聚銘安全速遞