Microsoft veröffentlicht Out-of-Band-Update für Windows-Codecs-Bibliothek
Microsoft hat zwei Out-of-Band-Fixes für die Windows-Codecs-Bibliothek und Visual Studio Code veröffentlicht, um Schwachstellen bei der Remote-Codeausführung auf beiden Plattformen zu beheben.
Der Windows-Fehler betraf die HEVC Windows Codecs-Bibliothek und wirkt sich auf alle Windows-Versionen aus.
In CVE-2020-17022 ausführlich beschrieben, sagt Microsoft, dass Angreifer bösartige Bilder erstellen können, die, wenn sie von einer Anwendung verarbeitet werden, die über Windows läuft, dem Angreifer die Ausführung von Code auf einem nicht gepatchten Windows-Betriebssystem ermöglichen können.
Nur diejenigen, die die optionalen Medien-Codecs HEVC oder "HEVC from Device Manufacturer" aus dem Microsoft Store installiert haben, sind betroffen, und Microsoft verteilt den Patch direkt über den Microsoft Store.
Um zu sehen, ob Sie eine anfällige Version installiert haben, gehen Sie zu Einstellungen, Anwendungen und Funktionen und wählen Sie HEVC, Erweiterte Optionen. Versionen vor 1.0.32762.0, 1.0.32763.0 sind unsicher.
Die andere Sicherheitsanfälligkeit betrifft Visual Studio Code.
Unter CVE-2020-17023 verfolgt, sagt Microsoft, dass Angreifer bösartige package.json-Dateien erstellen können, die, wenn sie in Visual Studio Code geladen werden, bösartigen Code ausführen können. Wenn Benutzer als Administratoren ausgeführt werden, wird der Code mit diesen Berechtigungen ausgeführt.
Eine aktualisierte Version von Visual Studio Code ist verfügbar, und Microsoft empfiehlt, diese so bald wie möglich zu aktualisieren.