微软发布带外更新解决HEVC扩展和VSC安全漏洞 请开发者们及时升级新版
据微软安全响应中心发布的消息,Windows Codecs及 Visual Studio Code 代码编辑器出现高危级别安全漏洞。
Windows Codecs主要指的是系统预装的各类媒体编解码器,此次出现漏洞的编解码器是HEVC视频的编解码器。
HEVC视频编解码器目前已经自动安装在受支持的Windows 10上,好消息是 HEVC 扩展本身通过商店自动更新。
据微软称此次编解码器存在的安全漏洞影响Windows 10所有版本,攻击者可以制作恶意图像利用这枚安全漏洞。
成功利用此漏洞可以执行任意代码因此漏洞级别为严重,该漏洞的CVSS综合评分为7.8分所以危害性确实比较高。
值得注意的是微软商店提供两种HEVC视频扩展编解码器 ,但不论安装哪种都会存在漏洞所以用户需要升级新版。
考虑到微软商店自动开启更新因此当前用户的HEVC应该已经完成更新 ,不放心的话可以在商店里检查更新记录。
检查方法:打开微软商店点击头像后的菜单选择下载更新即可检查,当然如果你没安装这个扩展请直接忽略即可。
Visual Studio Code是微软推出的开源代码编辑器 , 这款代码编辑器在开发者群体里受欢迎程度相对还是挺高的。
此次该代码编辑器出现某个安全漏洞,攻击者利用特制的.JSON文件诱导开发者加载即可利用漏洞执行任意代码。
若开发者利用其他手段诱导开发者克隆其存储库并使用VSC打开亦可利用该漏洞,不过正常情况下无法完成提权。
如果开发者使用管理员权限加载VSC则危害程度剧增,这里也提醒开发者如无必要不要使用管理员权限加载VSC。
关于VSC的安全漏洞可以点击这里查看详情,开发者可以打开VSC在顶部的帮助里点击检查更新升级到最新版本。