Microsoftは10月16日(現地時間)、Widnows CodecsライブラリとVisual Studio Codeの深刻な脆弱性に対処するための緊急パッチを公開しました(ZDNet)。
発見された不具合はどちらも、攻撃者がターゲットシステム上で任意のコードを実行する事が可能となる「リモートコード実行」の脆弱性となっています。
最初の脆弱性は、Windows Codecsライブラリに関係したCVE-2020-17022です。悪意のある画像をアプリが処理することで任意のコードが実行可能になる恐れがあり、全てのWindows 10に影響します。ただし全てのユーザーが関係するわけではなく、HEVCをMicrosoft Storeからインストールしたユーザーに影響されます。「設定 > アプリと機能」で「HEVC」の「詳細オプション」を選択し、1.0.32762.0あるいは1.0.32763.0以降のバージョンならば安全です。
2番目のVisual Studio Codeに関連した脆弱性はCVE-2020-17023にて説明されています。悪意のあるpackage.jsonファイルが、Visual Studio Codeで読み込まれることによって、任意のコードを実行することができるようになるとのこと。ユーザーの権限によっては、攻撃者のコードは管理者権限で実行され、感染したホストを完全に乗っ取ることも可能になります。
Visual Studio Codeユーザーに対して速やかに最新版に更新するよう推奨されています。