19/10/20
Компания Microsoft выпустила внеплановые обновления безопасности, устраняющие две уязвимости удаленного выполнения кода в библиотеке Windows Codecs и приложении Visual Studio Code.
Первая проблема, получившая идентификатор ( CVE-2020-17022 ), существует в связи с тем, как Windows Codecs обрабатывает объекты в памяти. Уязвимость затрагивает все версии Windows 10 и может быть проэксплуатирована путем отправки вредоносного изображения.
Отметим, что проблема распространяется не на всех пользователей Windows 10, а только на системы с уязвимыми медиа кодеками HEVC или HEVC from Device Manufacturer, загруженными из Microsoft Store. Проблема не затрагивает версии HEVC 1.0.32762.0, 1.0.32763.0 и более поздние.
Обновление, исправляющее указанную уязвимость, будет автоматически установлено на системы пользователей через Microsoft Store.
Вторая проблема ( CVE-2020-17023 ) содержится в приложении Visual Studio Code и может быть проэксплуатирована с помощью вредоносного package.json файла. В зависимости от разрешений пользователя атакующий может использовать данную уязвимость для удаленного выполнения кода в том числе с правами администратора.
Пользователям рекомендуется обновить приложение как можно скорее.
