Bug Microsoft Windows 10 Pembaruan Darurat Visual Studio Code Pembaruan Darurat

Microsoft Rilis Pembaruan Darurat Untuk Dua Bug

NESABAMEDIA.COMMicrosoft merilis dua pembaruan darurat out-of-band untuk mengatasi masalah keamanan di Windows Codecs Library dan kode aplikasi Visual Studio.

Dua pembaruan ini hadirnya cukup terlambat, setelah Microsoft sebelumnya merilis pembaruan rutin awal minggu kemarin. Diketahui, dua celah keamanan itu berupa kode eksekusi yang bisa dilakukan secara jarak jauh, yang memungkinkan peretas mengeksekusi kode yang ada di dalam sistem korban.

Bug pertama kemudian diberi nama CVE-2020-17022. Microsoft mengatakan, peretas bisa membuat sebuah file gambar yang rupanya telah disusupi kode jahat, kemudian jika gambar itu diproses oleh aplikasi yang berjalan di Windows 10, maka kode jahat itu pun juga akan bekerja menginfeksi sistem milik korban. Khususnya pada Windows 10 yang belum diperbarui. 

Microsoft mengatakan jika seluruh sistem operasi Windows 10 rentan akan celah keamanan ini. Namun pihaknya mengatakan, update untuk kode library ini akan terinstal secara otomatis di perangkat pengguna melalui Microsoft Store.

Microsoft menambahkan, yang lebih rentan adalah pengguna yang telah menginstal HEVC media codec dari Microsoft Store. Lebih lanjut, HEVC ini sebenarnya tidak tersedia untuk versi offline installer maupun distribusi lokal, melainkan hanya tersedia di Microsoft Store. Library tersebut juga tidak mendukung Windows Server.

Jika ingin mengecek apakah perangkat yang digunakan menggunakan codec HEVC yang memiliki celah keamanan itu, pengguna bisa membuka Settings -> Apps and Feature dan memilih HEVC kemudian Advanced Options. Versi yang dinyatakan oleh Microsoft adalah dengan seri 1.0.32762.0, 1.0.32763.0, dan ke atas.

Bug kedua yang ditemukan adalah pada Visual Studio Code, yang kemudian diberi nama CVE-2020-17023. Untuk celah keamanan satu ini, teknisnya penyerang bisa membuat file package.json abal-abal dan ketika dimuat di Visual Studio, maka malware akan mulai berjalan. 

Tergantung dari pengaturan perizinan yang dipilih pengguna, penyerang yang mendapatkan akses admin akan memiliki akses ke seluruh sistem perangkat pengguna. Package.json selama ini merupakan library yang umum digunakan untuk sejumlah projects berbasis Javascript, serta paling populer di antara library lainnya. 

Microsoft pun menyarankan para pengguna yang menggunakan Visual Studio segera mengunduh dan menginstal pembaruan darurat, untuk menutup celah keamanan tersebut.

Leave a Reply

Send this to a friend