Ada Kerentanan pada Windows dan Visual Studio, Pengguna Diminta Segera Update
Microsoft | Foto: wccftech.com
Cyberthreat.id – Microsoft, perusahaan perangkat lunak, pada Jumat (16 Oktober 2020) merilis dua pembaruan keamanan untuk mengatasi masalah keamanan pada pustaka (library) “Windows Codecs” dan aplikasi “Visual Studio Code”.
Pembaruan itu termasuk terlambat, padahal pada Selasa (13 Oktober) perusahaan merilis pembaruan keamanan bulanan untuk menambal 87 kerentanan.
Kedua kerentanan yang diperbaiki itu ialah kelemahan "eksekusi kode jarak jauh" dan memungkinkan penyerang untuk mengeksekusi kode pada sistem yang terkena dampak, demikian seperti dikutip ZDNet, portal berita cybersecurity, diakses Minggu (18 Oktober).
Microsoft mengatakan, kerentanan tersebut mempengaruhi semua versi Window 10.
Kerentanan pertama pada library “Windows Codecs” dikodekan sebagai “CVE-2020-17022”. Microsoft mengatakan, jika kerentanan ini dieksploitasi, peretas dapat membuat gambar berbahaya ketika diproses oleh aplikasi yang berjalan di Windows—peretas bisa mengeksekusi kode pada OS Windows yang belum ditambal.
Microsoft mengatakan pembaruan untuk library tersebut akan dipasang secara otomatis pada sistem pengguna melalui Microsoft Store.
Tidak semua pengguna terpengaruh, tetapi hanya mereka yang telah menginstal codec media HEVC opsional atau "HEVC dari Device Manufacturer" dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Library juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah Anda menggunakan codec HEVC yang rentan, pengguna dapat memeriksa ke Pengaturan>Aplikasi & Fitur>HEVC>Opsi Lanjutan. Versi amannya adalah 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.
Kerentanan kedua “Visual Studio Code” yang dikodekan sebagai “CVE-2020-17023” memungkinkan peretas membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.
Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host (perangkat) yang terinfeksi.
File package.json secara teratur digunakan dengan pustaka dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js sisi servernya, adalah salah satu teknologi paling populer saat ini.
Pengguna “Visual Studio Code” disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.[]
