Moins d’une semaine après le Patch Tuesday d’octobre, l’éditeur déploie deux mises à jour de sécurité pour colmater deux brèches exploitables à distance, mais non critiques.

La première, estampillée CVE-2020-17022, peut permettre l’exécution d’un code arbitraire par l’ouverture dans Windows d’une simple image spécialement conçue. La vulnérabilité réside dans la Codecs Library.

L’autre, CVE-2020-17023, peut avoir les mêmes retombées avec un fichier package.json malveillant ouvert dans Visual Studio Code.

Bien qu’exploitables à distance, ces deux failles ne sont pas considérées comme critiques. Dans le premier cas, les privilèges obtenus sont ceux de l’utilisateur connecté, sans escalade. Dans le second, un pirate devrait d’abord convaincre sa cible de cloner un dépôt et de l’ouvrir dans Visual Studio Code.

Les deux failles sont en tout cas corrigées et il est recommandé d’installer les correctifs rapidement. Les détails ont été transmis discrètement à Microsoft. Selon l’éditeur, il n’y aucune exploitation active.