Windows Update ではやってこない緊急のセキュリティ パッチ（CVE-2020-17022 と CVE-2020-17023）

先週末に緊急のセキュリティ情報＆パッチが公開されていますが、”定例外のセキュリティアップデート”ぉぉぉみたいな記事出てますけど Windows Update でやってくるものではないです。

CVE-2020-17022 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
CVE-2020-17023 | Visual Studio JSON Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

1 つは...

1つは「デバイス製造元からの HEVC ビデオ拡張機能」（HEVC Video Extensions from Device Manufacturer）アプリというかコーデック。放っとけば自動更新されますが、急ぎたい場合は Microsoft Store の「ダウンロートと更新」から。ver 1.0.32762.0 または 1.0.32763.0 以降になれば OK（セキュア）。「設定」－「アプリ」で「HEVC」を検索するか、Get-AppxPackage -Name Microsoft.HEVCVideoExtension* を実行してバージョン確認。HEVC がもともとインストールされていなければそれはそれでいい。Intel の新しい世代の CPU とか特定の GPU のあるやつに入ってるっぽい。

 もう1つは 「Visual Studio Code（VS Code）」。バージョン 1.50.1 以降になっていれば たぶん OK。たぶんて書いたのは”Update 1.50.1: The update addresses these issues.”とかリリースノートの"The update addresses these issues, including a fix for a security vulnerability."をクリックしていってもそれらしきものにたどり着けないから。"including a fix for a security vulnerability."って書いてるのがそれだと思ってる。

VS Code をインストールしていない人には無関係。更新するには「Help」－「Check for Updates...」してからの「Reset for Updates（だったけかな？）」。

Windows、Microsoft Edge（Chromium-based）、Office（C2R）、Microsoft Storeアプリ、PowerShell Gallery（この 4 月に TLS 1.0/1.1 廃止されたので注意→"PowerShell ギャラリーは現在利用できません”の原因と回避） 、その他のアプリ（VS code）などなど、更新経路がいろいろあってなんだかとっ散らかってる気がする。