「HEVC ビデオ拡張機能」にリモートコード実行の脆弱性 ～Microsoftが追加のセキュリティ情報

「HEVC ビデオ拡張機能」v1.0.32763.0

　米Microsoftは10月15日（現地時間）、追加のセキュリティ情報を発表した。

Microsoft Windows Codecs Library Remote Code Execution Vulnerability（CVE-2020-17022）

　同社のコーデックライブラリにはメモリ内のオブジェクトを処理する方法に問題があり、細工が施されたイメージファイルを処理する際に、リモートから任意のコードを実行されてしまう可能性がある。深刻度は“Important”。

　本脆弱性はすべての現行版「Windows 10」に影響するが、「HEVC ビデオ拡張機能」や「デバイス製造元からの HEVC ビデオ拡張機能」がインストールされていなければ攻撃を受けることはない。これらがインストールされている場合は、“Microsoft Store”経由で修正版に自動更新される。気になる場合は、バージョンが“1.0.32762.0”または“1.0.32763.0”およびそれ以降になっていることを確認しよう。

Visual Studio JSON Remote Code Execution Vulnerability（CVE-2020-17023）

　「Visual Studio Code」には、悪意のある“package.json”ファイルを開くと、現在のユーザー権限でリモートから任意のコードを実行される脆弱性が存在する。管理者権限で利用していれば、システム全体を乗っ取られてしまう可能性もある。コードリポジトリをクローンして「Visual Studio Code」で開く際は特に注意が必要だ。深刻度は“Important”。

　この脆弱性は、最新版の「Visual Studio Code」で修正されているとのこと。