以確保自己受到保護。

不用說，建議所有用戶盡快在所有設備上安裝最新的修補程序。

盡管Microsoft于10月13日發布了本月的星期二補丁程序，但該公司還是在10月15日發布了兩個緊急更新，以解決Windows Codecs庫和Visual Studio Code的遠程執行代碼漏洞。

美國國土安全部的CISA是最早宣布推出新更新的人之一，該公司在其網站上發布了一份建議，建議管理員盡快修補其設備。

“ Microsoft已發布安全更新，以解決影響Windows Codecs庫和Visual Studio Code的遠程代碼執行漏洞。攻擊者可能利用這些漏洞來控制受影響的系統。網絡安全和基礎架構安全局(CISA)鼓勵用戶和管理員查看有關CVE-2020-17022和CVE-2020-17023的Microsoft安全公告，并應用必要的更新。”

Microsoft在10月15日發布的新帶外CVE是：

CVE-2020-17022 | Microsoft Windows編解碼器庫遠程執行代碼漏洞

CVE-2020-17023 | Visual Studio JSON遠程執行代碼漏洞

首先，RCE漏洞影響Windows編解碼器庫。

微軟警告說，攻擊者必須使用未打補丁的系統說服潛在受害者打開特制圖像文件。發生這種情況時，攻擊者最終可以運行任意代碼，因此該修補程序的作用是解決庫如何處理內存中的對象。

該漏洞影響市場上的所有Windows 10版本，包括2004版或2020年5月更新。它被賦予了重要的嚴重等級。

“ Microsoft Windows Codecs庫處理內存中對象的方式中存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以執行任意代碼。利用此漏洞需要程序處理經特殊設計的圖像文件。該更新通過更正Microsoft Windows Codecs庫如何處理內存中的對象來解決該漏洞。”

然后是Visual Studio漏洞。

Microsoft解釋說，成功的攻擊需要惡意的參與者說服目標克隆一個存儲庫，然后在Visual Studio Code中打開它。盡管這顯然是一種更為復雜的攻擊，但如果滿足了先決條件，一旦惡意package.json文件啟動，攻擊者將能夠控制未修補的系統。

微軟解釋說，帶外補丁通過簡單地修改Visual Studio Code處理JSON文件的方式來解決該漏洞。

“當用戶被誘騙打開惡意的“ package.json”文件時，Visual Studio Code中存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以在當前用戶的上下文中運行任意代碼。如果當前用戶使用管理用戶權限登錄，則攻擊者可以控制受影響的系統。然后，攻擊者可能會安裝程序。查看，更改或刪除數據;或創建具有完全用戶權限的新帳戶。”該公司指出。

與其他漏洞一樣，Visual Studio Code也具有重要的嚴重等級。

好消息是，這兩個安全漏洞均已秘密披露，并且Microsoft確認它不知道野外正在發生任何活躍的利用。因此，歸根結底，Microsoft如此快地