مایکروسافت دو آپدیت فوری برای از بین بردن باگ های ویندوز ویژوال استودیو منتشر کرد

مایکروسافت به منظور رفع آسیب‌پذیری های موجود در کتابخانه Windows Codecs و برنامه Visual Studio Code، دو بروزرسانی امنیتی جدید را به صورت اورژانسی منتشر کرد.

به گزارشZDNet، دو آسیب‌پذیری یاد شده از قابلیت اجرای کد از راه دور (RCE) سواستفاده کرده و به هکرها اجازه می‌دهند کدهای مخرب را روی سیستم آلوده اجرا کنند. باگ اول که CVE-2020-17022 نام دارد، به هکرها اجازه می‌دهد تا با ایجاد تصاویر مخرب و پردازش آن‌ها از طریق یکی از برنامه‌های ویندوز، کدهای مخرب را در نسخه‌های بروز نشده این سیستم عامل اجرا کنند. مایکروسافت می‌گوید تمام نسخه‌های ویندوز ۱۰ در برابر این باگ آسیب پذیرند.

مایکروسافت گفت بروزرسانی کتابخانه HEVC به طور خودکار از طریق مایکروسافت استور روی سیستم‌ها نصب خواهد شد. این باگ سیستم‌هایی که کدک‌های HEVC (یا HEVC from Device Manufacturer) را از فروشگاه مایکروسافت نصب کرده‌اند تحت تأثیر قرار می‌دهد.

کاربران می‌توانند برای آگاهی از نصب کدک HEVC آسیب پذیر روی سیستم، از Settings به قسمت Apps & Features رفته و پس از پیدا کردن HEVC در لیست برنامه‌ها، روی Advanced Options کلیک کنند. اگر روبروی Version عدد 1.0.32762.0 یا 1.0.32763.0 یا بیشتر درج شده بود، کدک آسیب پذیر نیست.

باگ دوم با کد CVE-2020-17023 شناسایی می‌شود و آنطور که مایکروسافت می‌گوید به هکرها اجازه می‌دهد تا فایل‌های package.json مخرب ایجاد کنند که پس از بارگذاری در برنامه Visual Studio Code کدهای مخرب را اجرا می‌کنند. کد مخرب بسته به سطح دسترسی‌های کاربری می‌تواند با سطح Admin اجرا شده و کنترل کامل سیستم آلوده را در دست گیرد.

فایل‌های Package.json اغلب با کتابخانه‌ها و پروژه‌های جاوااسکریپت استفاده می‌شوند. جاوااسکریپت و به ویژه فناوری سمت سرور آن یعنی Node.js جزو محبوب‌ترین فناوری‌های حال حاضر دنیا به شمار می‌روند. به کاربران Visual Studio Code توصیه می‌شود تا هر چه سریع‌تر این نرم افزار را به آخرین نسخه آپدیت کنند.