Deux correctifs à appliquer d'urgence pour Windows et Visual Studio Code

Par:
fredericmazue

lun, 19/10/2020 - 17:06

Microsoft vient de publier deux correctifs en dehors du Tuesday Patch mensuel habituel. C'est dire si ces deux correctifs doivent être appliqués d'urgence.

Le premier concerne la vulnérabilité répertoriée CVE-2020-17022. La vulnérabilité se trouve dans le traitement de certains codecs. Via cette vulnérabilité, des images malveillantes, lorsque lues par une application Windows, peuvent permettre l'exécution de code arbitraire à distance. Toutefois, comme le précise notre confrère ZDNet, seuls les utilisateurs qui ont installé les codecs média optionnels HEVC ou "HEVC from Device Manufacturer" du Microsoft Store sont vulnérables. Ce codec est uniquement distribué via la Microsoft Store.

La seconde vulnérabilité, répertoriée CVE-2020-17023, touche directement les développeurs, car elle se situe dans Visual Studio Code. Via cette vulnérabilité, des fichiers malveillants package.json peuvent provoquer une exécution de code arbitraire à distance. Si le développeur qui travaille sous Visual Studio Code a les droits de l'administrateur, alors un attaquant peut prendre totalement le contrôle de la machine attaquée.

Ces deux correctifs doivent donc être appliqués d'urgence. Les développeurs travaillant avec Visual Studio Code doivent mettre celui-ci à jour immédiatement.