Октябрьский «вторник обновлений», в рамках которого устранили 87 багов, уже миновал, и теперь разработчики Microsoft опубликовали два внеплановых исправления для уязвимостей в составе Windows Codecs Library и Visual Studio Code. Оба бага допускают удаленное выполнение произвольного кода в уязвимых системах.

Ошибка в Windows Codecs Library имеет идентификатор к CVE-2020-17022 и представляет опасность для всех версий Windows 10. Инженеры Microsoft пишут, что с ее помощью злоумышленники могут создавать вредоносные изображения. Если такое изображение будет обработано приложением, работающим поверх Windows, злоумышленник сможет выполнить произвольный код.

Баг затрагивает не всех пользователей, а лишь тех, кто установил дополнительные кодеки HEVC или HEVC from Device Manufacturer из Microsoft Store.

Специалисты говорят, что Windows Codecs Library обновится автоматически, через Microsoft Store, и пользователям не придется предпринимать никаких действий.

В свою очередь, уязвимость в Visual Studio Code получила идентификатор CVE-2020-17023. Данная проблема позволяет создавать вредоносные файлы package.json, которые, будучи загружены Visual Studio Code, позволят выполнять вредоносный код.

Код злоумышленника может быть выполнен с привилегиями администратора (в зависимости от прав текущего пользователя), то есть атакующий получит полный контроль над зараженным хостом.

Пользователям Visual Studio Code рекомендуется как можно быстрее обновить приложение до новейшей версии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии