微软才在上周的Patch Tuesday(10/13)修补了87个安全漏洞,但周四(10/15)又额外修补了CVE-2020-17022与CVE-2020-17023两个安全漏洞,虽然被列为重要(Important)等级,但它们皆属远程程序攻击漏洞。
其中的CVE-2020-17022藏匿在Windows的编解码器函数库(Codecs Library),会在处理内存中对象时被触发,黑客可借由一个特定的图片文件开采该漏洞。而CVE-2020-17023则是现身于Visual Studio Code中,当黑客成功诱导用户打开一个恶意的package.json文件时,就能以用户权限执行任意程序。
根据微软的解释,这两个漏洞所涉及的对象属于Store程序/组件的服务,因此并未遵循Patch Tuesday的节奏,而是在必要时修补,且若用户的系统上原本就安装了这两个程序/组件,同时激活了Store程序的自动更新功能,那么系统也会自动更新它们。