Descripción
Microsoft ha publicado dos avisos de seguridad para corregir las vulnerabilidades de ejecución remota de código en los productos afectados.
Los avisos de seguridad se refieren a:
- CVE-2020-17022: Una vulnerabilidad en la biblioteca de códecs de Microsoft Windows, al manejar los objetos en la memoria, podría permitir a un atacante la ejecución remota de código mediante el procesado de un archivo de imagen especialmente diseñado.
- CVE-2020-17023: Una vulnerabilidad presente en el código de Visual Studio podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual, si logra engañar a ese usuario para que clone un repositorio y abra un archivo ‘package.json’ malicioso.
Recursos afectados
- Windows 10 versión 1709 para sistemas de 32 bit, ARM64 y x64
- Windows 10 versión 1803 para sistemas de 32 bit, ARM64 y x64
- Windows 10 versión 1809 para sistemas de 32 bit, ARM64 y x64
- Windows 10 versión 1903 para sistemas de 32 bit, ARM64 y x64
- Windows 10 versión 1909 para sistemas de 32 bit, ARM64 y x64
- Windows 10 versión 2004 para sistemas de 32 bit, ARM64 y x64
- Visual Studio Code
Solución
- Para Windows Media Codec la actualización corrige la forma en que Microsoft Windows Codecs Library maneja los objetos en memoria, los clientes afectados se actualizarán automáticamente desde Microsoft Store
- Para Visual Studio, descargar la última versión que modifica la forma en que el código de Visual Studio maneja los archivos JSON.