Октябрьский «вторник обновлений», в рамках которого устранили 87 багов, уже миновал, и теперь разработчики Microsoft опубликовали два внеплановых исправления для уязвимостей в составе Windows Codecs Library и Visual Studio Code. Оба бага допускают удаленное выполнение произвольного кода в уязвимых системах.
Ошибка в Windows Codecs Library имеет идентификатор к CVE-2020-17022 и представляет опасность для всех версий Windows 10. Инженеры Microsoft пишут, что с ее помощью злоумышленники могут создавать вредоносные изображения. Если такое изображение будет обработано приложением, работающим поверх Windows, злоумышленник сможет выполнить произвольный код.
Баг затрагивает не всех пользователей, а лишь тех, кто установил дополнительные кодеки HEVC или HEVC from Device Manufacturer из Microsoft Store.
Специалисты говорят, что Windows Codecs Library обновится автоматически, через Microsoft Store, и пользователям не придется предпринимать никаких действий.
В свою очередь, уязвимость в Visual Studio Code получила идентификатор CVE-2020-17023. Данная проблема позволяет создавать вредоносные файлы package.json, которые, будучи загружены Visual Studio Code, позволят выполнять вредоносный код.
Код злоумышленника может быть выполнен с привилегиями администратора (в зависимости от прав текущего пользователя), то есть атакующий получит полный контроль над зараженным хостом.
Пользователям Visual Studio Code рекомендуется как можно быстрее обновить приложение до новейшей версии.
