微软紧急修复两个 RCE，影响 Windows Codecs 库和 Visual Studio

微软发布了两个带外安全更新，解决了 Windows Codecs 库和 Visual Studio Code 应用中的安全问题。这是继微软本月补丁星期二修复87个漏洞之后发布的。这两个漏洞均为“远程代码执行”缺陷，可导致攻击者在受影响系统上执行代码。

第一个漏洞是CVE-2020-17022。微软表示攻击者可以构造恶意镜像，如被在 Windows 运行的 app 的处理，则可导致攻击者在未修复的 Windows OS 执行代码。

所有 Windows 10 版本均受影响。

微软表示，这个库的更新将通过 Microsoft Store 自动安装在用户系统上。

并非所有用户均受影响，只有从 Microsoft Store 中安装了可选的 HEVC 或 “HEVC from Device Manufacturer” 媒体编解码器才受影响。

HEVC 并不存在离线分发版本，仅可通过 Microsoft Store 获取。Windows Server 并不支持该库。

要查看是否使用易受攻击的 HEVC 编解码器，用户可访问设置→应用和功能→HEVC→高级选项查看。安全版本是1.0.32762.0、1.0.32763.0及后续版本。

第二个漏洞是 CVE-2020-17023。微软指出，攻击者可以构造恶意 package.json 文件。将该文件加载在 Visual Studio Code 时，攻击者就能够执行恶意代码。

根据用户权限的不同，攻击者可以管理员权限执行代码并完全控制受感染主机。

Package.json 文件常用于 JavaScript 库和项目中。JavaScript 尤其是其服务器端的 Node.js 技术，是当前最流行的技术之一。

建议Visual Studio Code 用户将 app 尽快更新至最新版本。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。