Microsoft, nuovi aggiornamenti di sicurezza per Visual Studio e Windows

Microsoft ha rilasciato due aggiornamenti di sicurezza per risolvere i problemi di sicurezza per la libreria di codec di Windows e l’applicazione Visual Studio Code. Entrambi gli aggiornamenti arrivano dopo che la società ha rilasciato martedì scorso il suo pacchetto mensile di aggiornamenti di sicurezza, correggendo altre 87 vulnerabilità questo mese.

Entrambe queste nuove vulnerabilità rientrano nella categoria “esecuzione di codice in modalità remota”, che potrebbero consentire agli aggressori di eseguire codice sui sistemi interessati.

LEGGI ANCHE: Scoperti due gravi problemi di sicurezza in Windows 10

A rischio la libreria di codec di Windows

Il primo bug viene nominato come CVE-2020-17022. Secondo Microsoft, gli aggressori potrebbero creare immagini dannose che, se elaborate da un’applicazione in esecuzione su Windows, consentirebbero loro di eseguire codice su un sistema operativo Windows senza patch.

Tutte le versioni di Windows 10 sono interessate. Microsoft ha specificato che un aggiornamento per questa libreria verrà installato automaticamente sui sistemi degli utenti tramite Microsoft Store.

Non tutti gli utenti sono interessati, ma solo quelli che hanno installato i codec multimediali HEVC o “HEVC from Device Manufacturer” opzionali da Microsoft Store. HEVC non è disponibile per la distribuzione offline ed è disponibile solo tramite Microsoft Store. La libreria non è inoltre supportata su Windows Server.

Per verificare e vedere se viene utilizzato un codec HEVC vulnerabile, gli utenti devono andare su Impostazioni> Applicazioni e funzionalità e selezionare HEVC> Opzioni avanzate . Le versioni protette sono 1.0.32762.0, 1.0.32763.0 e successive.

Aggiornamenti di sicurezza per Visual Studio

La seconda vulnerabilità di sicurezza viene rilevata come CVE-2020-17023. Secondo Microsoft, gli aggressori potrebbero creare file .json di pacchetti dannosi che, se caricati nel codice di Visual Studio, potrebbero eseguire codice dannoso.

A seconda delle autorizzazioni dell’utente, il codice creato da un malintenzionato potrebbe essere eseguito con i privilegi di un amministratore e dargli il pieno controllo su un host infetto. I file Package.json vengono usati regolarmente con librerie e progetti JavaScript. Quest’ultima, e in particolare la sua tecnologia lato server Node.js, è oggi una delle tecnologie più popolari. Microsoft consiglia agli utenti di Visual Studio Code di aggiornare l’applicazione il prima possibile alla versione più recente.