Microsoft hat dem regulären, monatlichen Patch Tuesday zwei Updates nachgeführt. Diese Aktualisierungen schließen Schwachstellen in der Windows Codecs Library von Windows 10 und im Quellcode-Editor Visual Studio Code und wurden als wichtig ("Important") eingestuft.

Allerdings sind beide Updates nur für eine Teilgruppe von Nutzern relevant. Ausschließlich Windows 10-Systeme, auf denen die optionalen HEVC Codecs (oder "HEVC from Device Manufacturer") nachinstalliert wurden, sind von der Schwachstelle CVE-2020-17022 betroffen und die Schwachstelle CVE-2020-17023 betrifft solche, bei der eine verwundbare Editor-Version vorhanden ist.

Bei beiden Lücken ist eine mögliche Folge eines gelungenen Angriffs die Ausführung beliebigen Programmcodes durch einen entfernten Angreifer (Remote Code Execution). Der Angreifer könnte im Falle der Visual Studio Code-Lücke CVE-2020-17023 das System vollständig übernehmen, sofern der aktuelle Nutzer als Administrator angemeldet ist. Dafür müsse er den Nutzer aber zunächst dazu bringen, ein Repository mit schädlichem Code (package.json) zu klonen und es in Visual Studio Code zu öffnen.

Die Angreifbarkeit der in Microsofts Security Advisory zu CVE-2020-17023 genannten Windows 10-Versionen beseitigt ein Update auf Visual Studio Code 1.50.1.

Durch ein Update des HEVC-Codecs auf die abgesicherten Versionen 1.0.32762.0, 1.0.32763.0 oder höher wird CVE-2020-17022 geschlossen. Da das Update laut Microsofts Advisory (FAQ-Abschnitt) automatisch über den Microsoft Store erhältlich ist, sei somit keine zusätzliche Aktion erforderlich.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE