Microsoft ได้ออกแพตช์นอกรอบเพื่ออุดช่องโหว่ให้ Windows Codec Library และ Visual Studio Code โดยการประกาศครั้งนี้มาพร้อมคำเตือนจาก CISA ในเวลาต่อมา จึงแนะนำให้ผู้ใช้ควรอัปเดตครับ
- CVE-2020-17022 : เป็นช่องโหว่กระทบกับ Windows 10 ทุกเวอร์ชัน แต่เฉพาะแค่กับเครื่องที่มีการติดตั้งส่วนขยายวีดีโออย่าง HEVC หรือ HEVC from Device Manufacturer ผ่านทาง Microsoft Store เท่านั้น เพื่อให้รองรับ HEVC Codec โดยเพียงแค่คนร้ายสร้างไฟล์รูปแบบพิเศษขึ้นมาหลอกให้เหยื่อเปิดจากแอปบน Windows 10 ก็สามารถนำไปสู่การลอบรันโค้ดได้ทันที
- CVE-2020-17023 : ช่องโหว่ใน Visual Studio Code ซึ่งคนร้ายสร้าแพ็กเกจ .json แบบพิเศษขึ้นและเหยื่อโหลดเข้าไปใน Visual Studio Code ก็สามารถทำให้การลอบรันโค้ดจากทางไกลได้ในสิทธิ์ของผู้ใช้งาน หากมีสิทธิระดับแอดมินก็จบ
การแพตช์ในครั้งนี้มีคำเตือนจาก CISA ว่าผู้ดูแลควรให้ความสำคัญ รวมถึง Microsoft ไม่มีวิธีบรรเทาปัญหาเบื้องต้นจึงต้องแพตช์เท่านั้น
ที่มา : https://www.zdnet.com/article/microsoft-releases-emergency-security-updates-for-windows-and-visual-studio/ และ https://www.securityweek.com/cisa-warns-remote-code-execution-bugs-visual-studio-windows-codecs-library