Łatki bezpieczeństwa dla Windows Codecs Library i Visual Studio Code

Łatki bezpieczeństwa dla Windows Codecs Library i Visual Studio Code

Autor: Krzysztof Sulikowski

Opublikowano: 10/19/2020, 1:12 PM

Liczba odsłon: 1514

Aktualizacje zabezpieczeń składników Windows udostępniane są zawsze w Patch Tuesday i często nawet z łatkami krytycznych podatności Microsoft czeka do najbliższego drugiego wtorku miesiąca. Przykładowo 13 października załatano aż 87 podatności. Teraz wyjątkowo gigant postanowił wyłamać się z tego schematu i wypuścić łatki biblioteki Windows Codecs i Visual Studio Code.

Podatność w Windows Codecs Library

Pierwszy bug oznaczono jako CVE-2020-17022. Jak podaje Microsoft, atakujący mogli spreparować złośliwe obrazy, które po przetworzeniu przez aplikację działającą w Windows mogły umożliwić wykonanie kodu w niezałatanym systemie. Podatnością są objęte wszystkie wersje Windows 10, choć jedynie pod warunkiem zainstalowania opcjonalnych kodeków multimedialnych HEVC lub "HEVC od producenta urządzenia" z Microsoft Store. Aktualizacja biblioteki będzie automatycznie instalowana w systemach poprzez Microsoft Store. Aby sprawdzić, czy używacie podatnej wersji kodeków, udajcie się do Ustawień > Aplikacje > Aplikacje i funkcje > HEVC > Opcje zaawansowane. Bezpieczne wersje to 1.0.32762.0, 1.0.32763.0 i późniejsze.

Podatność w Visual Studio Code

Drugi bug oznaczono jako CVE-2020-17023. Jak podaje Microsoft, atakujący mogli spreparować złośliwe pliki package.json, które po załadowaniu w VS Code mogły wykonać złośliwy kod. W zależności od uprawnień użytkownika kod atakującego mógł wykonać się z uprawnieniami administratora, co dawało mu pełną kontrolę nad zainfekowanym hostem. Pliki package.json są powszechnie używane z bibliotekami i projektami JavaScript, zwłaszcza w technologii Node.js. Użytkownikom edytora kodu zaleca się zaktualizowanie aplikacji tak szybko, jak to możliwe.