Microsoft исправляет недостатки RCE в обновлении Windows

Корпорация Майкрософт выпустила внеполосные исправления для двух «важных» уязвимостей, использование которых может позволить удаленное выполнение кода.

В предупреждении CISA о патчах говорится, что Microsoft выпустила обновления безопасности для устранения уязвимостей удаленного выполнения кода, затрагивающих библиотеку кодеков Windows и код Visual Studio:

• Один недостаток (CVE-2020-17023) существует в Microsoft Visual Studio Code — это бесплатный редактор исходного кода, созданный Microsoft для Windows, Linux и macOS.
• Другой (CVE-2020-17022) находится в библиотеке кодеков Microsoft Windows – модуль кодеков предоставляет потоковые и файловые интерфейсы для перекодирования данных в программах Windows.

Успешно воспользовавшись уязвимостью CVE-2020-17023, злоумышленник может запустить произвольный код в контексте текущего пользователя. Для этого нужно убедить цель клонировать репозиторий и открыть его в Visual Studio Code (с помощью социальной инженерии или иным образом). Вредоносный код злоумышленника запускается, когда цель открывает вредоносный файл package.json. Обновление Microsoft устраняет уязвимость, изменяя способ обработки файлов JSON в Visual Studio Code.

Успешно воспользовавшись уязвимостью CVE-2020-17022, злоумышленник может выполнить произвольный код, для этого требуется лишь, чтобы программа обработала специально созданный файл образа. Однако только клиенты с дополнительными медиакодеки HEVC или «HEVC от производителя устройства» из Microsoft Store, могут быть уязвимы.

Согласно заявлению Microsoft, ни один из этих недостатков не использовался в «дикой природе». Microsoft также не предложила способы устранения других недостатков или обходные пути, но обновления будут автоматически установлены для пользователей.

Исправления появились через несколько дней после обновлений Microsoft October Patch Tuesday, в ходе которых были выпущены исправления для 87 уязвимостей безопасности, 11 из которых являлись критическими, а одна была уязвима для червей.