GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Microsoft | Windows Codecs & Visual Studio JSON远程代码执行缝隙公告

颁布功夫 2020-10-19

0x00 缝隙概述

产品名称	CVE ID	类型	缝隙等级	远程利用	影响领域
Windows Codecs	CVE-2020-17022	RCE	高危	是
Visual Studio Code	CVE-2020-17023	RCE	高危	是

微软于2020年10月15日颁布了两个带表安全更新，以建复Microsoft Windows Codecs和Visual Studio Code中的两个远程代码执行（RCE）缝隙。缝隙跟踪为CVE-2020-17022和CVE-2020-17023，其CVSS评分均为7.8。

0x01 缝隙详情

Microsoft Windows Codecs远程代码执行缝隙（CVE-2020-17022）

Microsoft Windows Codecs是Microsoft的编解码器库，其中的编解码器�？樘峁┝擞糜诙訵indows法式中的数据进行代码转换的流和文件接口。该缝隙是由于Microsoft Windows Codecs库在处置内存对象的方式中存在一个远程代码执行缝隙。攻击者能够使用恶意机关的的图像文件来利用此缝隙。成功利用此缝隙的攻击者能够在指标系统上执行肆意代码。

影响领域：

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Visual Studio JSON远程代码执行缝隙（CVE-2020-17023）

Microsoft的Visual Studio Code是Microsoft针对Windows、Linux和macOS开发的一种免费的源代码编纂器。

攻击者能够通过诱使用户打开恶意的“ package.json”文件来利用此缝隙。成功利用此缝隙的攻击者能够在当前用户的高低文中运行肆意代码。

若是当前用户使用治理用户权限登录，则攻击者能够节造整个系统，例如装置法式、查看、更改或删除数据、创建拥有齐全用户权限的新帐户等。

目前，Microsoft的更新是通过批改Visual Studio Code处置JSON文件的方式来解决了此缝隙。

影响领域：

Visual Studio Code 1.50.1之前的版本。

0x02 措置建议

目前Microsoft已颁布安全更新，建议实时装置有关补丁。

（一） Windows update更新

自动更新：

Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并鄙人一次启动时装置。

手动更新：

1、点击“起头菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过节造面板进入“Windows更新”，具体步骤为“节造面板”->“系统和安全”->“Windows更新”）

3、选择“查抄更新”，期待系统将自动查抄并下载可用更新。

4、沉启推算机，装置更新系统沉新启动后，可通过进入“Windows更新”->“查看更新汗青纪录”查看是否成功装置了更新。对于没有成功装置的更新，能够点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，而后在新链接当选择合用于指标系统的补丁进行下载并装置。

（二） 手动装置更新

微软官方下载相应补丁进行更新。

CVE-2020-17022链接地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022

CVE-2020-17023链接地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

0x03 参考链接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

https://securityaffairs.co/wordpress/109665/security/microsoft-windows-rce.html?

https://threatpost.com/microsoft-rce-flaws-windows-update/160244/

0x04 功夫线

2020-10-15 Microsoft颁布安全更新

2020-10-19 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】