دو نقص متخصص متاخر از نوع RCE که به مهاجمان اجازه ی اجرای کدها از طرز دور (Remote Code Execution) می دهند، درون کتابخانه ی کدک های ویندوز (Windows Codecs Library) و ویرایشگر متنی ویژوال استودیو کد مایکروسافت (Visual Studio Code) کشف شدند و مایکروسافت را وادار بوسیله نمایش ی وصله ی امنیتی اضطراری کردند.
مایکروسافتروز گذشته دو به روزرسانی امنیتی خارج از طالع بوسیله منظور رفع آسیب پذیری های موجود در قفسه ی کدک های ویندوز و اپلیکیشن ویژوال استودیو کد منتشر کرد. دو بوسیله روزرسانی با فاصله ی قدری بعد از انتشار وصله ی امنیتی ماهانه ی مایکروسافت در هفته ی گذشته منتشر شد. پیشانی ی امنیتی مایکروسافت برای این ماه ۸۷ آسیب پذیری را مرتفع می کرد؛ ولی این دو نقص فنی را دربرگیرنده نمی شد.
آسیب پذیری قفسه ی کدک های ویندوز با شناسه ی CVE-2020-17022 معرفی کردن شده است. مایکروسافت می گوید مهاجمان ازطریق این آسیب پذیری توانایی لازم برای ساختن ایمیج های آلوده را دارند تا زمانی که ازطریق یک اپلیکیشن روی ویندوز اجرا شوند، کدهای مد نظر خویشتن را روی سیستم عامل ویندوز به روزنشده، ادا کنند. این آسیب پذیری ظاهرا در تمام نسخه های ویندوز 10 شناسایی شده است. مایکروسافت اعلام کرد با توجه به اهمیت بالای این نقص فنی، به روزرسانی مخصوص Library به رخ خودکار و ازطریق Microsoft Store روی سیستم های کاربران نصب خواهد شد.
وقوف خوش درباره ی آسیب پذیری این است که فقط کاربرانی که کدک های ویدئویی اختیاری HEVC یا کدگذاری ویدیویی پربازده (High Efficiency Video Coding) را از مایکروسافت استور نصب کردند، در معرض خطر حمله قرار دارند.
کدک های HEVC به رخساره آفلاین دردسترس نیستند و فقط ازطریق مایکروسافت استور می نبوغ آن ها را نصب کرد. کتابخانه ی مدنظر روی ویندوز سید پشتیبانی نمی شود؛ بنابراین تو این باره برای کاربران این پلتفرم نگرانی وجود ندارد.
کاربران برای اطمینان مولود کردن از اینکه از کدک های آسیب پذیر HEVC استفاده نمی کنند، می توانند بااطلاع پاره Settings, Apps
درباره این سایت