مايكروسافت دو آپديت فوري براي رفع باگ هاي ويندوز و ويژوال استوديو منتشر كرد

مايكروسافت به منظور رفع آسيب پذيري هاي موجود در كتابخانه Windows Codecs و برنامه Visual Studio Code، دو بروزرساني امنيتي جديد را به صورت اورژانسي منتشر كرد. به گزارش ZDNet، دو آسيب پذيري ياد شده از قابليت اجراي كد از راه دور (RCE) سواستفاده كرده و به هكرها اجازه مي دهند كدهاي مخرب را روي سيستم آلوده اجرا كنند. باگ اول كه CVE-2020-17022 نام دارد، به هكرها اجازه مي دهد تا با ايجاد تصاوير مخرب و پردازش آن ها از طريق يكي از برنامه هاي ويندوز، كدهاي مخرب را در نسخه هاي بروز نشده اين سيستم عامل اجرا كنند. مايكروسافت مي گويد تمام نسخه هاي ويندوز 10 در برابر اين باگ آسيب پذيرند. مايكروسافت گفت بروزرساني كتابخانه HEVC به طور خودكار از طريق مايكروسافت استور روي سيستم ها نصب خواهد شد. اين باگ سيستم هايي كه كدك هاي HEVC (يا HEVC from Device Manufacturer) را از فروشگاه مايكروسافت نصب كرده اند تحت تأثير قرار مي دهد. كاربران مي توانند براي آگاهي از نصب كدك HEVC آسيب پذير روي سيستم، از Settings به قسمت Apps & Features رفته و پس از پيدا كردن HEVC در ليست برنامه ها، روي Advanced Options كليك كنند. اگر روبروي Version عدد 1.0.32762.0 يا 1.0.32763.0 يا بيشتر درج شده بود، كدك آسيب پذير نيست. باگ دوم با كد CVE-2020-17023 شناسايي مي شود و آنطور كه مايكروسافت مي گويد به هكرها اجازه مي دهد تا فايل هاي package.json مخرب ايجاد كنند كه پس از بارگذاري در برنامه Visual Studio Code كدهاي مخرب را اجرا مي كنند. كد مخرب بسته به سطح دسترسي هاي كاربري مي تواند با سطح Admin اجرا شده و كنترل كاملا سيستم آلوده را در دست گيرد. فايل هاي Package.json اغلب با كتابخانه ها و پروژه هاي جاوااسكريپت استفاده مي شوند. جاوااسكريپت و به ويژه فناوري سمت سرور آن يعني Node.js جزو محبوب ترين فناوري هاي حال حاضر دنيا به شمار مي روند. به كاربران Visual Studio Code توصيه مي شود تا هر چه سريع تر اين نرم افزار را به آخرين نسخه آپديت كنند.