Microsoft corrige deux failles importantes dans Windows et Visual Studio Code

Moins d’une semaine après le Patch Tuesday d’octobre, l’éditeur déploie deux mises à jour de sécurité pour colmater deux brèches exploitables à distance, mais non critiques.

La première, estampillée CVE-2020-17022, peut permettre l’exécution d’un code arbitraire par l’ouverture dans Windows d’une simple image spécialement conçue. La vulnérabilité réside dans la Codecs Library.

L’autre, CVE-2020-17023, peut avoir les mêmes retombées avec un fichier package.json malveillant ouvert dans Visual Studio Code.

Bien qu’exploitables à distance, ces deux failles ne sont pas considérées comme critiques. Dans le premier cas, les privilèges obtenus sont ceux de l’utilisateur connecté, sans escalade. Dans le second, un pirate devrait d’abord convaincre sa cible de cloner un dépôt et de l’ouvrir dans Visual Studio Code.

Les deux failles sont en tout cas corrigées et il est recommandé d’installer les correctifs rapidement. Les détails ont été transmis discrètement à Microsoft. Selon l’éditeur, il n’y aucune exploitation active.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !