Alert!

Remote Code Execution: Microsoft schließt zwei Schwachstellen außer der Reihe

Nur eine Teilgruppe von Windows 10- und Visual Studio Code-Nutzern ist potenziell gefährdet. Dennoch ist ein Blick auf die verfügbaren Updates dringend ratsam.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge

(Bild: Radu Bercan/Shutterstock.com)

Von
  • Olivia von Westernhagen

Dem regulären, monatlichen Patch Tuesday hat Microsoft zwei Updates "hinterher geschoben". Die von dem Unternehmen als wichtig ("Important") eingestuften Aktualisierungen schließen Schwachstellen in der Windows Codecs Library von Windows 10 sowie im Quellcode-Editor Visual Studio Code.

Beide Updates sind allerdings nur für eine Teilgruppe von Nutzern relevant: Eine Schwachstelle (CVE-2020-17022) betrifft ausschließlich Windows 10-Systeme, auf denen die optionalen HEVC Codecs (oder "HEVC from Device Manufacturer") nachinstalliert wurden, die andere (CVE-2020-17023) logischerweise nur solche mit einer verwundbaren Editor-Version.

Mögliche Folge eines gelungenen Angriffs ist bei beiden Lücken die Ausführung beliebigen Programmcodes durch einen entfernten Angreifer (Remote Code Execution). Im Falle der Visual Studio Code-Lücke CVE-2020-17023 könnte der Angreifer überdies das System vollständig übernehmen, sofern der aktuelle Nutzer als Administrator angemeldet ist. Dazu müsste er den Nutzer im Vorfeld allerdings zunächst dazu bringen, ein Repository mit schädlichem Code (package.json) zu klonen und es in Visual Studio Code zu öffnen.

Auch CVE-2020-17022 erfordert die Verarbeitung einer speziell präparierten Datei, konkret: eines Bildes, durch eine von Microsoft nicht näher genannte Anwendung. Angriffe auf die Schwachstellen will Microsoft bislang nicht beobachtet haben.

Ein Update auf Visual Studio Code 1.50.1 beseitigt die Angreifbarkeit der in Microsofts Security Advisory zu CVE-2020-17023 genannten Windows 10-Versionen.

CVE-2020-17022 wiederum wird durch ein Update des HEVC-Codecs auf die abgesicherten Versionen 1.0.32762.0, 1.0.32763.0 oder höher geschlossen. Laut Microsofts Advisory (FAQ-Abschnitt) erhalten betroffene Anwender das Update automatisch über den Microsoft Store, über den der optionale Codecs für gewöhnlich auch installiert wurde. Es sei somit keine Aktion erforderlich. Wer auf Nummer Sicher gehen wolle, könne die Codec-Version allerdings auch manuell überprüfen und nach Updates suchen. Dies ist auch dann notwendig, wenn automatische Updates aus dem Store deaktiviert sind.

Die optionalen HEVC-Codecs sorgen nicht zum ersten Mal für Sicherheitsprobleme: Im Juli dieses Jahres warnte Microsoft vor gleich zwei HEVC-spezifischen RCE-Schwachstellen.

Lesen Sie auch

(ovw)