Microsoft | Windows Codecs & Visual Studio JSON远程代码执行漏洞通告

  • A+
所属分类:安全漏洞


0x00 漏洞概述

产品名称

CVE  ID

类  型

漏洞等级

远程利用

影响范围

Windows  Codecs

CVE-2020-17022

RCE

高危


Visual  Studio Code

CVE-2020-17023

RCE

高危


 

微软于2020年10月15日发布了两个带外安全更新,以修复Microsoft Windows Codecs和Visual Studio Code中的两个远程代码执行(RCE)漏洞。漏洞跟踪为CVE-2020-17022和 CVE-2020-17023,其CVSS评分均为7.8。

 

0x01 漏洞详情

Microsoft | Windows Codecs & Visual Studio JSON远程代码执行漏洞通告

 

MicrosoftWindows Codecs远程代码执行漏洞(CVE-2020-17022)

MicrosoftWindows Codecs是Microsoft的编解码器库,其中的编解码器模块提供了用于对Windows程序中的数据进行代码转换的流和文件接口。该漏洞是由于MicrosoftWindows Codecs库在处理内存对象的方式中存在一个远程代码执行漏洞。攻击者可以使用恶意构造的的图像文件来利用此漏洞。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。

影响范围:

Windows10 Version 1709 for 32-bit Systems

Windows10 Version 1709 for ARM64-based Systems

Windows10 Version 1709 for x64-based Systems 

Windows10 Version 1803 for 32-bit Systems

Windows10 Version 1803 for ARM64-based Systems

Windows10 Version 1803 for x64-based Systems

Windows10 Version 1809 for 32-bit Systems

Windows10 Version 1809 for ARM64-based Systems

Windows10 Version 1809 for x64-based Systems 

Windows10 Version 1903 for 32-bit Systems

Windows10 Version 1903 for ARM64-based Systems

Windows10 Version 1903 for x64-based Systems

Windows10 Version 1909 for ARM64-based Systems

Windows10 Version 1909 for x64-based Systems 

Windows10 Version 2004 for 32-bit Systems

Windows10 Version 2004 for ARM64-based Systems

Windows10 Version 2004 for x64-based Systems

 

Visual Studio JSON远程代码执行漏洞(CVE-2020-17023)

Microsoft的Visual Studio Code是Microsoft针对Windows、Linux和macOS开发的一种免费的源代码编辑器。

攻击者可以通过诱使用户打开恶意的“package.json”文件来利用此漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。

如果当前用户使用管理用户权限登录,则攻击者可以控制整个系统,例如安装程序、查看、更改或删除数据、创建具有完全用户权限的新帐户等。

目前,Microsoft的更新是通过修改Visual Studio Code处理JSON文件的方式来解决了此漏洞。

影响范围:

VisualStudio Code 1.50.1之前的版本

 

0x02 处置建议

目前Microsoft已发布安全更新,建议及时安装相关补丁。

(一)Windows update更新

自动更新:

MicrosoftUpdate默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。

手动更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

(二)手动安装更新

微软官方下载相应补丁进行更新。

CVE-2020-17022链接地址:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022

CVE-2020-17023链接地址:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

 

0x03 参考链接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

https://securityaffairs.co/wordpress/109665/security/microsoft-windows-rce.html?

https://threatpost.com/microsoft-rce-flaws-windows-update/160244/


0x04 时间线

2020-10-15 Microsoft发布安全更新

2020-10-19 VSRC发布安全通告

 

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

 


 


本文始发于微信公众号(维他命安全):Microsoft | Windows Codecs & Visual Studio JSON远程代码执行漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: