Min menu

Pages

Microsoft publie des mises à jour de sécurité d'urgence pour Windows

Microsoft publie des mises à jour de sécurité d'urgence pour Windows

Microsoft publie des mises à jour de sécurité d'urgence pour Windows


Microsoft a publié des mises à jour de sécurité d'urgence pour résoudre les problèmes de sécurité dans la bibliothèque de codecs Windows et l'application Visual Studio Code.

Les deux mises à jour arrivent tard après que la société a publié son lot mensuel de mises à jour de sécurité plus tôt cette semaine pour corriger 87 vulnérabilités ce mois-ci.

Les nouvelles vulnérabilités représentent des failles d'exécution de code à distance, qui permettent aux attaquants d'exécuter du code sur les systèmes affectés.

La première erreur s'appelle (CVE-2020-17022), et Microsoft dit: Un attaquant peut créer des images malveillantes qui lui permettent - lorsqu'il est manipulé par une application exécutée sous Windows - d'exécuter du code via le système d'exploitation Windows non corrigé.

L'un des inconvénients importants de l'erreur (CVE-2020-17022) provient de la façon dont la bibliothèque de codecs Microsoft Windows gère les objets en mémoire.

Et toutes les versions de Windows 10 sont affectées par l'erreur, et le géant du logiciel a expliqué qu'une mise à jour pour cette bibliothèque sera installée automatiquement via les systèmes de l'utilisateur via le Microsoft Store.

Tous les utilisateurs ne sont pas concernés, seuls ceux qui ont installé le codec multimédia facultatif (HEVC) du Microsoft Store sont concernés.

Le codec multimédia en option (HEVC) n'est pas disponible pour la distribution hors connexion, il est uniquement disponible via (Microsoft Store) et il n'est pas pris en charge via (Windows Server).

Vous pouvez accéder à Paramètres, Applications et Fonctionnalités pour vérifier que vous utilisez un codec HEVC faible. Selon Microsoft, les versions sûres sont (1.0.32762.0) et (1.0.32763.0) et versions ultérieures.

La deuxième erreur est appelée (CVE-2020-17023), et Microsoft dit: Les attaquants peuvent créer des fichiers malveillants (pack.json) qui peuvent exécuter du code malveillant lorsqu'ils sont téléchargés via Visual Studio Code.

Le code de l'attaquant pourrait être exécuté avec des privilèges d'administrateur et lui permettre d'avoir un contrôle complet sur la machine infectée, en fonction des autorisations de l'utilisateur.

Microsoft Update résout le bogue en modifiant la façon dont Visual Studio Code gère les fichiers JSON.

Les fichiers Package.json sont régulièrement utilisés avec les bibliothèques et projets JavaScript.

JavaScript, en particulier Node.js côté serveur, est l'une des technologies les plus populaires aujourd'hui.

Les utilisateurs de Visual Studio Code - le programme d'édition de code source gratuit de Microsoft fonctionnant sur les systèmes Windows, Mac OS et Linux - sont invités à mettre à jour l'application dès que possible avec la dernière version.

Commentaires