今天微軟發布了兩個不定期的例外（Out-of-Band）安全更新，重點修復了Windows Codecs庫和Visual Studio Code應用中的安全問題。這兩個例外安全更新是本月補丁星期二活動日之後再發布的，主要修復了兩款產品中的“遠程代碼執行”漏洞，能夠讓攻擊者在受影響的設備上遠程執行代碼。

第一個錯誤被標記為CVE-2020-17022。微軟表示攻擊者可以通過製作含有惡意程序的圖像，當Windows應用處理該圖像的時候能夠在未修復的設備上遠程執行代碼。微軟表示對於Windows Codecs庫的更新將通過Microsoft Store自動安裝在用戶系統中。

並非所有用戶都會受到影響，只有安裝了Microsoft Store 可選HEVC 或“來自設備製造商的HEVC”媒體編解碼器的用戶才會受到影響。HEVC 不可用於離線分發，只能通過Microsoft Store 使用。Windows Server也不支持該庫。

第二個錯誤被標記為CVE-2020-17023。微軟表示，攻擊者可以製作惡意的package.json文件，當將它們加載到Visual Studio Code中時，它們可以執行惡意代碼。基於用戶的權限，攻擊者的代碼可以使用管理員特權執行，並允許他們完全控制受感染的主機。Package.json文件通常與JavaScript庫和項目一起使用。