Microsoft dikabarkan telah menerbitkan dua pembaruan keamanan out-of-band baru-baru ini untuk mengatasi masalah keamanan di library Windows Codecs dan aplikasi Visual Studio Code.
Kedua pembaruan untuk library Windows Codecs dan Visual Studio tersebut dirilis menyusul setelah perusahaan merilis batch pembaruan keamanan bulanan awal pekan ini, pada hari Selasa, yang memperbaiki 87 kerentanan.
Kedua kerentanan baru tersebut adalah kelemahan “remote code execution”, yang memungkinkan penyerang mengeksekusi kode pada sistem yang terkena dampak.
Kerentanan pertama dilacak sebagai CVE-2020-17022. Microsoft mengatakan bahwa penyerang dapat membuat gambar berbahaya yang, ketika diproses oleh aplikasi yang berjalan di atas Windows, dapat memungkinkan penyerang untuk mengeksekusi kode pada OS Windows. Semua versi Windows 10 terpengaruh oleh kerentanan ini.
Microsoft mengatakan pembaruan untuk library ini akan diinstal secara otomatis pada sistem pengguna melalui Microsoft Store.
Namun, tidak semua pengguna terpengaruh, hanya pengguna yang telah menginstal codec media HEVC opsional atau “HEVC dari Device Manufacturer” dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Library tersebut juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah kamu menggunakan codec HEVC yang rentan atau tidak, pengguna dapat pergi ke Settings, Apps & Features, kemudian pilih HEVC, Advanced Options. Versi yang aman dari kerentanan adalah versi 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.
Baca Juga: “Peneliti Temukan Kerentanan Dalam Layanan Cloud Microsoft Azure“
Kerentanan kedua dilacak sebagai CVE-2020-17023. Microsoft mengatakan penyerang dapat membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.
Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host yang terinfeksi.
File package.json biasanya digunakan bersamaan dengan library dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js server-side, adalah salah satu teknologi paling populer saat ini.
Pengguna Visual Studio Code disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.
