今天微软发布了两个偶发异常(Out-of-Band)安全更新,重点修复WindowsCodecs库和VisualStudioCode应用程序中的安全问题。这两个特殊的安全更新是在本月补丁星期二活动日之后发布的,主要修复了这两款产品中的“远程代码执行”漏洞,该漏洞允许攻击者在受影响的设备上远程执行代码。第一个漏洞被标记为CVE-2020-17022。微软表示,攻击者可以在Windows应用程序处理图像时制作包含恶意程序的图像,从而在未打补丁的设备上远程执行代码。微软表示,WindowsCodecs库的更新将通过MicrosoftStore自动安装在用户的系统上。并非所有用户都会受到影响,只有那些安装了来自MicrosoftStore的可选HEVC或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。HEVC不可用于离线分发,只能通过MicrosoftStore进行分发。WindowsServer也不支持这个库。第二个错误被标记为CVE-2020-17023。微软表示,攻击者可以制作恶意的package.json文件,将其加载到VisualStudioCode中后可以执行恶意代码。基于用户的权限,攻击者的代码可以以管理员权限执行,并允许他们完全控制受感染的主机。Package.json文件通常用于JavaScript库和项目。
