Microsoft Fixes RCE Flaws in Out-of-Band Windows Update

Microsoft ประกาศออกเเพตซ์ฉุกเฉิน 2 รายการที่จะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

Microsoft ประกาศออกเเพตซ์ด้านความปลอดภัยฉุกเฉินสองรายการ เพื่อเเก้ปัญหาช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ที่พบว่าจะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

ช่องโหว่ CVE-2020-17022 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเกิดจากวิธีการที่ Microsoft Windows Codecs Library จัดการกับวัตถุในหน่วยความจำ ซึ่งการใช้ช่องโหว่ให้ประสบความสำเร็จนั้นผู้โจมตีจำเป็นต้องทำให้แอปพลิเคชันทำการประมวลผลไฟล์ภาพที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่จะมีผลต่ออุปกรณ์ทั้งหมดที่ใช้ Windows 10 เวอร์ชัน 1709 หรือใหม่กว่าและไลบรารีเวอร์ชันที่มีช่องโหว่ ทั้งนี้ช่องโหว่นี้ถูกค้นพบและรายงานโดย Dhanesh Kizhakkinan จาก FireEye

ช่องโหว่ CVE-2020-17023 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Visual Studio JSON โดยเมื่อผู้ใช้เปิดไฟล์ 'package.