Microsoft выпустила экстренные патчи для Windows и Visual Studio | статьи на docronik
Разработчики Microsoft опубликовали два внеплановых исправления для уязвимостей в составе Windows Codecs Library и Visual Studio Code. Оба бага допускают удаленное выполнение произвольного кода в уязвимых системах.
Ошибка в Windows Codecs Library имеет идентификатор к CVE-2020-17022 и представляет опасность для всех версий Windows 10. Инженеры Microsoft пишут, что с ее помощью злоумышленники могут создавать вредоносные изображения. Если такое изображение будет обработано приложением, работающим поверх Windows, злоумышленник сможет выполнить произвольный код.
Баг затрагивает не всех пользователей, а лишь тех, кто установил дополнительные кодеки HEVC или HEVC from Device Manufacturer из Microsoft Store. Специалисты говорят, что Windows Codecs Library обновится автоматически, через Microsoft Store, пользователям не придется предпринимать никаких действий.
В свою очередь, уязвимость в Visual Studio Code получила идентификатор CVE-2020-17023. Данная проблема позволяет создавать вредоносные файлы package.json, которые, будучи загружены Visual Studio Code, позволят выполнять вредоносный код.
Код злоумышленника может быть выполнен с привилегиями администратора (в зависимости от прав текущего пользователя), то есть атакующий получит полный контроль над зараженным хостом. Пользователям Visual Studio Code рекомендуется как можно быстрее обновить приложение до новейшей версии.
Источник: