Microsoft
hat dem regulären, monatlichen Patch Tuesday zwei Updates nachgeführt.
Diese Aktualisierungen schließen Schwachstellen in der Windows
Codecs Library von Windows 10 und im Quellcode-Editor Visual Studio
Code und wurden als wichtig ("Important") eingestuft.
Allerdings sind beide Updates nur für eine Teilgruppe von
Nutzern relevant. Ausschließlich Windows 10-Systeme, auf denen
die optionalen HEVC Codecs (oder "HEVC from Device Manufacturer")
nachinstalliert wurden, sind von der Schwachstelle CVE-2020-17022
betroffen und die Schwachstelle CVE-2020-17023 betrifft solche,
bei der eine verwundbare Editor-Version vorhanden ist.
Bei beiden Lücken ist eine mögliche Folge eines gelungenen
Angriffs die Ausführung beliebigen Programmcodes durch einen
entfernten Angreifer (Remote Code Execution). Der Angreifer könnte
im Falle der Visual Studio Code-Lücke CVE-2020-17023
das System vollständig übernehmen, sofern der aktuelle
Nutzer als Administrator angemeldet ist. Dafür müsse er
den Nutzer aber zunächst dazu bringen, ein Repository mit schädlichem
Code (package.json) zu klonen und es in Visual Studio Code zu öffnen.
Die Angreifbarkeit der in Microsofts Security Advisory zu CVE-2020-17023
genannten Windows 10-Versionen beseitigt ein Update auf Visual Studio
Code 1.50.1.
Durch ein Update des HEVC-Codecs auf die abgesicherten Versionen
1.0.32762.0, 1.0.32763.0 oder höher wird CVE-2020-17022 geschlossen.
Da das Update laut Microsofts Advisory (FAQ-Abschnitt) automatisch
über den Microsoft Store erhältlich ist, sei somit keine
zusätzliche Aktion erforderlich.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|