微軟發(fā)布緊急補(bǔ)丁以解決兩個(gè)RCE缺陷

盡管Microsoft于10月13日發(fā)布了本月的星期二補(bǔ)丁程序，但該公司還是在10月15日發(fā)布了兩個(gè)緊急更新，以解決Windows Codecs庫(kù)和Visual Studio Code的遠(yuǎn)程執(zhí)行代碼漏洞。

美國(guó)國(guó)土安全部的CISA是最早宣布推出新更新的人之一，該公司在其網(wǎng)站上發(fā)布了一份建議，建議管理員盡快修補(bǔ)其設(shè)備。

“ Microsoft已發(fā)布安全更新，以解決影響Windows Codecs庫(kù)和Visual Studio Code的遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可能利用這些漏洞來(lái)控制受影響的系統(tǒng)。網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)鼓勵(lì)用戶和管理員查看有關(guān)CVE-2020-17022和CVE-2020-17023的Microsoft安全公告，并應(yīng)用必要的更新。”

Microsoft在10月15日發(fā)布的新帶外CVE是：

CVE-2020-17022 | Microsoft Windows編解碼器庫(kù)遠(yuǎn)程執(zhí)行代碼漏洞

CVE-2020-17023 | Visual Studio JSON遠(yuǎn)程執(zhí)行代碼漏洞

首先，RCE漏洞影響Windows編解碼器庫(kù)。

微軟警告說(shuō)，攻擊者必須使用未打補(bǔ)丁的系統(tǒng)說(shuō)服潛在受害者打開(kāi)特制圖像文件。發(fā)生這種情況時(shí)，攻擊者最終可以運(yùn)行任意代碼，因此該修補(bǔ)程序的作用是解決庫(kù)如何處理內(nèi)存中的對(duì)象。

該漏洞影響市場(chǎng)上的所有Windows 10版本，包括2004版或2020年5月更新。它被賦予了重要的嚴(yán)重等級(jí)。

“ Microsoft Windows Codecs庫(kù)處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以執(zhí)行任意代碼。利用此漏洞需要程序處理經(jīng)特殊設(shè)計(jì)的圖像文件。該更新通過(guò)更正Microsoft Windows Codecs庫(kù)如何處理內(nèi)存中的對(duì)象來(lái)解決該漏洞。”

然后是Visual Studio漏洞。

Microsoft解釋說(shuō)，成功的攻擊需要惡意的參與者說(shuō)服目標(biāo)克隆一個(gè)存儲(chǔ)庫(kù)，然后在Visual Studio Code中打開(kāi)它。盡管這顯然是一種更為復(fù)雜的攻擊，但如果滿足了先決條件，一旦惡意package.json文件啟動(dòng)，攻擊者將能夠控制未修補(bǔ)的系統(tǒng)。

微軟解釋說(shuō)，帶外補(bǔ)丁通過(guò)簡(jiǎn)單地修改Visual Studio Code處理JSON文件的方式來(lái)解決該漏洞。

“當(dāng)用戶被誘騙打開(kāi)惡意的“ package.json”文件時(shí)，Visual Studio Code中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可能會(huì)安裝程序。查看，更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新帳戶。”該公司指出。

與其他漏洞一樣，Visual Studio Code也具有重要的嚴(yán)重等級(jí)。

好消息是，這兩個(gè)安全漏洞均已秘密披露，并且Microsoft確認(rèn)它不知道野外正在發(fā)生任何活躍的利用。因此，歸根結(jié)底，Microsoft如此快地發(fā)布新補(bǔ)丁是一件好事，因?yàn)檫@樣，如果任何惡意行為者試圖利用這兩個(gè)漏洞，用戶都可