Microsoft发布了两个带外安全更新，以解决Windows Codecs库和Visual Studio Code应用程序中的安全问题。

这两个更新是在公司于本周早些时候发布每月的安全更新批后发布的， 本月补丁了87个漏洞。

这两个新漏洞都是“远程代码执行”漏洞，使攻击者可以在受影响的系统上执行代码。

WINDOWS编解码器库漏洞

第一个错误被跟踪为CVE-2020-17022。微软表示，攻击者可以制作恶意图像，当这些恶意图像由运行在Windows之上的应用程序处理时，可以允许攻击者在未修补的Windows操作系统上执行代码。

所有Windows 10版本均会受到影响。

微软表示，该库的更新将通过Microsoft Store自动安装在用户系统上。

并非所有用户都会受到影响，只有安装了Microsoft Store可选HEVC或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。

HEVC不可用于脱机分发，只能通过Microsoft Store使用。Windows Server也不支持该库。

要检查并查看您是否正在使用易受攻击的HEVC编解码器，用户可以转到 “设置”，“应用和功能”，然后选择“  HEVC”，“高级选项”。安全版本为1.0.32762.0、1.0.32763.0和更高版本。

VISUAL STUDIO CODE漏洞

第二个错误被跟踪为CVE-2020-17023。微软表示，攻击者可以制作恶意的package.json文件，当将它们加载到Visual Studio Code中时，它们可以执行恶意代码。

根据用户的权限，攻击者的代码可以使用管理员特权执行，并允许他们完全控制受感染的主机。

Package.json文件通常与JavaScript库和项目一起使用。JavaScript，尤其是其服务器端Node.js技术，是当今最受欢迎的技术之一。

建议Visual Studio Code用户尽快将应用程序更新为最新版本。