产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 | 影响范围 |
Windows Codecs | CVE-2020-17022 | RCE | 高危 | 是 | |
Visual Studio Code | CVE-2020-17023 | RCE | 高危 | 是 |
微软于2020年10月15日发布了两个带外安全更新,以修复Microsoft Windows Codecs和Visual Studio Code中的两个远程代码执行(RCE)漏洞。漏洞跟踪为CVE-2020-17022和CVE-2020-17023,其CVSS评分均为7.8。
Microsoft Windows Codecs远程代码执行漏洞(CVE-2020-17022)
Microsoft Windows Codecs是Microsoft的编解码器库,其中的编解码器模块提供了用于对Windows程序中的数据进行代码转换的流和文件接口。该漏洞是由于Microsoft Windows Codecs库在处理内存对象的方式中存在一个远程代码执行漏洞。攻击者可以使用恶意构造的的图像文件来利用此漏洞。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。
影响范围:
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Visual Studio JSON远程代码执行漏洞(CVE-2020-17023)
Microsoft的Visual Studio Code是Microsoft针对Windows、Linux和macOS开发的一种免费的源代码编辑器。
攻击者可以通过诱使用户打开恶意的“ package.json”文件来利用此漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。
如果当前用户使用管理用户权限登录,则攻击者可以控制整个系统,例如安装程序、查看、更改或删除数据、创建具有完全用户权限的新帐户等。
目前,Microsoft的更新是通过修改Visual Studio Code处理JSON文件的方式来解决了此漏洞。
影响范围:
Visual Studio Code 1.50.1之前的版本。
目前Microsoft已发布安全更新,建议及时安装相关补丁。
(一) Windows update更新
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
微软官方下载相应补丁进行更新。
CVE-2020-17022链接地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
CVE-2020-17023链接地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023
https://securityaffairs.co/wordpress/109665/security/microsoft-windows-rce.html?
https://threatpost.com/microsoft-rce-flaws-windows-update/160244/
评论已关闭。