Spoločnosť Microsoft k 87 zraniteľnostiam zaplátaným v rámci utorkového Patch Tuesday oneskorene pridala dva kritické updaty. Tie sa týkajú knižnice Windows Codecs a aplikácie Visual Studio Code. Vývojári tak hackerom zahatali možnosť získania vzdialeného prístupu (RCE) k zariadeniu.
Knižnica Windows Codecs
Knižnicový bug, označovaný ako CVE-2020-17022, umožňoval útočníkom spustiť škodlivý kód na všetkých verziách Windowsu 10. Zraniteľní neboli všetci užívatelia, ale iba tí, ktorí si stiahli kodek „HEVC from Device Manufacturer“.
Problém nastal v spôsobe, akým kodeková knižnica pracuje so súbormi v pamäti. Zneužitie tejto zraniteľnosti by si však vyžadovalo špecificky upravený a pripravený súbor.
Bezpečné verzie kodeku sú 1.0.32762.0 a vyššie. Patch bude inštalovaný automaticky.
Aplikácia Visual Studio Code
Zraniteľnosť aplikácie, označovaná ako CVE-2020-17023, umožňovala útočníkom vytvoriť infikovaný JavaScriptový súbor, ktorý môže v aplikácii Visual Studio Code spustiť škodlivý kód.
Základným predpokladom pre tento útok by teda bolo presvedčiť užívateľa, aby otvoril infikovaný súbor. Pri určitých užívateľských nastaveniach by tak útočník mohol získať plnú kontrolu nad napadnutým zariadením a prehliadať, meniť a mazať dáta.
Užívatelia by mali aplikáciu čo najskôr aktualizovať. Zverejnený update upravuje spôsob, akým Visual Studio Code pracuje s .json súbormi.
Krištof Remper