今天微软发布了两个不定期的例外(Out-of-Band)安全更新,重点修复了 Windows Codecs 库和Visual Studio
Code
应用中的安全问题。
这两个例外安全更新是本月补丁星期二活动日之后再发布的,主要修复了两款产品中的“远程代码执行”漏洞,能够让攻击者在受影响的设备上远程执行代码。

访问:

阿里云推出高校特惠专场:0元体验入门云计算 快速部署创业项目

访问:

微软中国官方商城 – 首页

第一个错误被标记为 CVE-2020-17022微软表示攻击者可以通过制作含有恶意程序的图像,当 Windows 应用处理该图像的时候能够在未修复的设备上远程执行代码。微软表示对于 Windows Codecs 库的更新将通过 Microsoft Store 自动安装在用户系统中。

并非所有用户都会受到影响,只有安装了 Microsoft Store 可选 HEVC 或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。HEVC 不可用于离线 分发,只能通过 Microsoft Store 使用。Windows Server也不支持该库。

第二个错误被标记为 CVE-2020-17023。微软表示,攻击者可以制作恶意的 package.json 文件,当将它们加载到 Visual Studio Code 中时,它们可以执行恶意代码。基于用户的权限,攻击者的代码可以使用管理员特权执行,并允许他们完全控制受感染的主机。Package.json 文件通常与JavaScript库和项目一起使用。



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884