微軟再修補兩個安全漏洞

微軟才在上周的Patch Tuesday（10/13）修補了87個安全漏洞，但周四（10/15）又額外修補了CVE-2020-17022與CVE-2020-17023兩個安全漏洞，雖然被列為重要（Important）等級，但它們皆屬遠端程式攻擊漏洞。

其中的CVE-2020-17022藏匿在Windows的編解碼器函式庫（Codecs Library），會在處理記憶體中物件時被觸發，駭客可藉由一個特製的圖片檔案開採該漏洞。而CVE-2020-17023則是現身於Visual Studio Code中，當駭客成功誘導使用者開啟一個惡意的package.json檔案時，就能以使用者權限執行任意程式。

根據微軟的解釋，這兩個漏洞所牽涉的對象屬於Store程式/元件的服務，因此並未遵循Patch Tuesday的節奏，而是在必要時修補，且若使用者的系統上原本就安裝了這兩個程式/元件，同時啟用了Store程式的自動更新功能，那麼系統也會自動更新它們。