微軟週五發佈了兩個安全更新,以解決 Windows Codecs 庫和 Visual Studio Code 應用程序中的安全問題。json
這兩個更新是在該公司、於本週早些時候發佈了每個月的安全更新批次以後發佈的, 本月補丁了 87 個漏洞。這兩個新漏洞都是「遠程代碼執行」漏洞,使攻擊者能夠在受影響的系統上執行代碼。安全
外媒表示,全部 Windows 10 版本均會受到影響。當前,Windows 10 顯示兩條驅動程序錯誤消息,當驗證過程失敗時,用戶可能就會看到。第一個錯誤消息顯示爲「 Windows 沒法驗證該驅動程序軟件的發行者」,第二個錯誤消息顯示爲「主題中不存在簽名」。這些錯誤消息表示 Windows 在嘗試驗證驅動程序時發現格式不正確的目錄文件,而且安裝過程將失敗。網絡
不過,並不是全部用戶都會受到影響,只有使用易受攻擊的 HEVC 編解碼器的用戶纔會受到影響。HEVC 不可用於脫機分發,只能經過 Microsoft Store 使用。此外,Windows Server 也不支持該庫。視頻
要檢查、並查看您是否正在使用易受攻擊的 HEVC 編解碼器,用戶能夠轉到 「設置」-「應用和功能」,而後選擇「 HEVC」-「高級選項」。目前的安全版本爲 1.0.32762.0、1.0.32763.0 和更高版本。blog
還有一個錯誤是 CVE-2020-17023。微軟表示,攻擊者能夠製做惡意的 package.json 文件,當將它們加載到 Visual Studio Code 中時,它們能夠執行惡意代碼。ip
根據用戶的權限,攻擊者的代碼可使用管理員特權執行,並容許他們徹底控制受感染的主機。io
據悉,Package.json 文件一般與 JavaScript 庫和項目一塊兒使用。而 JavaScript、尤爲是 Node.js 技術,是當今最受歡迎的技術之一。所以,建議 Visual Studio Code 用戶儘快將應用程序更新到最新版本。class
另外值得注意是,近日 SophosLabs 的進攻性安全團隊,以短視頻的形式顯示了一個未打補丁的 Windows 10 計算機經過一個簡單 Bug 觸發 Python 腳本在網絡上隨意崩潰的錯誤:軟件
若是運行腳本的人可將特製的 IPv6 網絡數據包對準您的計算機,特別是誘騙陷阱的 ICMP 數據包,那麼他們能夠在沒有警告的狀況下攻擊電腦。權限
屆時你可能會看到藍屏死機,沒有保存的任何工做都將丟失,甚至可能永遠丟失。若是你真尚未打補丁,則有兩種解決方法:一、在 Windows 中關閉 IPv6。二、關閉 Windows 中有問題的 ICMP 功能。
若是不知道如何操做,能夠在微軟的 CVE-2020-16898 諮詢頁上找到有關關閉 ICMP RDNSS、並在修補後從新打開的說明。