微软周五发布了两个安全更新,以解决 Windows Codecs 库和 Visual Studio Code 应用程序中的安全问题。json
这两个更新是在该公司、于本周早些时候发布了每个月的安全更新批次以后发布的, 本月补丁了 87 个漏洞。这两个新漏洞都是“远程代码执行”漏洞,使攻击者能够在受影响的系统上执行代码。安全
外媒表示,全部 Windows 10 版本均会受到影响。当前,Windows 10 显示两条驱动程序错误消息,当验证过程失败时,用户可能就会看到。第一个错误消息显示为“ Windows 没法验证该驱动程序软件的发行者”,第二个错误消息显示为“主题中不存在签名”。这些错误消息表示 Windows 在尝试验证驱动程序时发现格式不正确的目录文件,而且安装过程将失败。网络
不过,并不是全部用户都会受到影响,只有使用易受攻击的 HEVC 编解码器的用户才会受到影响。HEVC 不可用于脱机分发,只能经过 Microsoft Store 使用。此外,Windows Server 也不支持该库。视频
要检查、并查看您是否正在使用易受攻击的 HEVC 编解码器,用户能够转到 “设置”-“应用和功能”,而后选择“ HEVC”-“高级选项”。目前的安全版本为 1.0.32762.0、1.0.32763.0 和更高版本。blog
还有一个错误是 CVE-2020-17023。微软表示,攻击者能够制做恶意的 package.json 文件,当将它们加载到 Visual Studio Code 中时,它们能够执行恶意代码。ip
根据用户的权限,攻击者的代码可使用管理员特权执行,并容许他们彻底控制受感染的主机。io
据悉,Package.json 文件一般与 JavaScript 库和项目一块儿使用。而 JavaScript、尤为是 Node.js 技术,是当今最受欢迎的技术之一。所以,建议 Visual Studio Code 用户尽快将应用程序更新到最新版本。class
另外值得注意是,近日 SophosLabs 的进攻性安全团队,以短视频的形式显示了一个未打补丁的 Windows 10 计算机经过一个简单 Bug 触发 Python 脚本在网络上随意崩溃的错误:软件
若是运行脚本的人可将特制的 IPv6 网络数据包对准您的计算机,特别是诱骗陷阱的 ICMP 数据包,那么他们能够在没有警告的状况下攻击电脑。权限
届时你可能会看到蓝屏死机,没有保存的任何工做都将丢失,甚至可能永远丢失。若是你真尚未打补丁,则有两种解决方法:一、在 Windows 中关闭 IPv6。二、关闭 Windows 中有问题的 ICMP 功能。
若是不知道如何操做,能够在微软的 CVE-2020-16898 咨询页上找到有关关闭 ICMP RDNSS、并在修补后从新打开的说明。