Microsoft выпустила экстренные патчи для Windows Codecs и Visual Studio Code

Компания Microsoft выпустила внеплановые обновления безопасности, устраняющие две уязвимости удаленного выполнения кода в библиотеке Windows Codecs и приложении Visual Studio Code.

Первая проблема, получившая идентификатор ( CVE-2020-17022 ), существует в связи с тем, как Windows Codecs обрабатывает объекты в памяти. Уязвимость затрагивает все версии Windows 10 и может быть проэксплуатирована путем отправки вредоносного изображения.

Отметим, что проблема распространяется не на всех пользователей Windows 10, а только на системы с уязвимыми медиа кодеками HEVC или HEVC from Device Manufacturer, загруженными из Microsoft Store. Проблема не затрагивает версии HEVC 1.0.32762.0, 1.0.32763.0 и более поздние.

Обновление, исправляющее указанную уязвимость, будет автоматически установлено на системы пользователей через Microsoft Store.

Вторая проблема ( CVE-2020-17023 ) содержится в приложении Visual Studio Code и может быть проэксплуатирована с помощью вредоносного package.json файла. В зависимости от разрешений пользователя атакующий может использовать данную уязвимость для удаленного выполнения кода в том числе с правами администратора.

Пользователям рекомендуется обновить приложение как можно скорее.