To sikkerhedsopdateringer uden for båndet, der adresserer CVE-2020-17022 og CVE-2020-17023, blev netop frigivet.
De to fejl kunne udløse fjernkørsel af kode i Microsoft Windows Codecs Library og Visual Studio Code. Da begge fejl vurderes som vigtige i sværhedsgrad, du bør overveje at anvende plasterne med det samme.
CVE-2020-17022
CVE-2020-17022 er en sårbarhed med fjernudførelse af kode, der findes i, hvordan Microsoft Windows Codecs Library håndterer objekter i hukommelsen. Sårbarheden er også kendt som “Sårbarhed i Microsoft Windows Codecs-bibliotek,” som pr den officielle CVE-rådgivning. Fejlen blev rapporteret til Microsoft af FireEye-forsker Dhanesh Kizhakkinan.
Ifølge Microsoft, en angriber, der med succes udnyttede sårbarheden, kunne udføre vilkårlig kode på et sårbart system. For at udnyttelsen skal lykkes, angriberen har brug for et program, der behandler en specielt udformet billedfil.
Den out-of-band opdatering løser sikkerhedsproblemet ved at rette, hvordan Microsoft Windows Codecs Library håndterer objekter i hukommelsen.
Hvilke Windows-versioner er berørt af denne RCE-fejl?
Vinduer 10, udgave 1709 eller senere, og en sårbar biblioteksversion.
Det skal bemærkes, at Windows 10 enheder påvirkes ikke af deres standardkonfiguration. “Kun kunder, der har installeret den valgfri HEVC eller ‘HEVC fra enhedsproducenten’ mediecodecs fra Microsoft Store kan være sårbare.”
“Berørte kunder opdateres automatisk af Microsoft Store. Kunder behøver ikke tage nogen handling for at modtage opdateringen,” Microsoft siger.
CVE-2020-17023
Denne sårbarhed findes i Visual Studio Code. Det udløses, når en bruger bliver narret til at åbne en ondsindet package.json-fil. I tilfælde af en vellykket udnytte, en hacker kunne køre vilkårlig kode i den aktuelle brugers kontekst, Microsoft siger. Hvis den aktuelle bruger er logget ind med administrative rettigheder, angriberen kunne overtage systemet og udføre forskellige ondsindede handlinger med fulde brugerrettigheder.
Hvordan kan CVE-2020-17023 udnyttes?
Angriberen skal narre den målrettede bruger til at klone et lager og åbne det i Visual Studio Code. “Attacker-specificeret kode ville udføre, når målet åbner den ondsindede 'package.json’ fil,” Microsofts rådgivning tilføjer.
Opdateringen løste fejlen ved at ændre den måde, hvorpå Visual Studio Code håndterer JSON-filer.
CVE-2020-17023 sikkerhedsfejl blev rapporteret til Microsoft af Justin Steven.