Spoločnosť Microsoft k 87 zraniteľnostiam zaplátaným v rámci utorkového Patch Tuesday oneskorene pridala dva kritické updaty.
Tie sa týkajú knižnice Windows Codecs a aplikácie Visual Studio Code. Vývojári tak hackerom zahatali možnosť získania vzdialeného prístupu (RCE) k zariadeniu. Knižnicový bug, označovaný ako CVE-2020-17022, umožňoval útočníkom spustiť škodlivý kód na všetkých verziách Windowsu 10. Zraniteľní neboli všetci používatelia, ale iba tí, ktorí si stiahli kodek „HEVC from Device Manufacturer“. Problém nastal v spôsobe, akým kodeková knižnica pracuje so súbormi v pamäti. Zneužitie tejto zraniteľnosti by si však vyžadovalo špecificky upravený a pripravený súbor.
Zraniteľnosť aplikácie, označovaná ako CVE-2020-17023, umožňovala útočníkom vytvoriť infikovaný JavaScriptový súbor, ktorý môže v aplikácii Visual Studio Code spustiť škodlivý kód. Základným predpokladom pre tento útok by teda bolo presvedčiť používateľa, aby otvoril infikovaný súbor. Pri určitých používateľských nastaveniach by tak útočník mohol získať plnú kontrolu nad napadnutým zariadením a prehliadať, meniť a mazať dáta. Používatelia by mali aplikáciu čo najskôr aktualizovať. Zverejnený update upravuje spôsob, akým Visual Studio Code pracuje s .json súbormi.
Zdroj: CS