时间:2020-10-18 来源:系统堂 游览量: 次
Microsoft发布了两个针对Windows编解码器库和Visual Studio代码的带外修复程序,以解决这两个平台中的远程代码执行漏洞。
Windows错误涉及HEVC Windows编解码器库并影响所有版本的Windows。
在CVE-2020-17022中有详细说明,微软表示,攻击者可以制作恶意图像,当这些图像被运行在Windows上的应用程序处理时,攻击者可以在未修补的Windows操作系统上执行代码。
只有那些从微软商店安装了可选的HEVC或“HEVC from Device Manufacturer”媒体编解码器的用户才会受到影响,而微软直接通过微软商店分发补丁。
若要查看是否安装了易受攻击的版本,请转到“设置”、“应用程序和功能”,然后选择“HEVC”、“高级选项”。早于1.0.32762.0、1.0.32763.0的版本不安全。
其他脆弱性影响Visual Studio代码。
根据CVE-2020-17023的追踪,微软说攻击者可以制作恶意的package.json文件,当加载到visualstudio代码中时,这些文件可以执行恶意代码。如果用户以管理员身份运行,则代码将以这些权限执行。
Visual Studio代码的更新版本可用,Microsoft建议尽快更新。