Misc.

2020/10/19

Windows Update ではやってこない緊急のセキュリティ パッチ(CVE-2020-17022 と CVE-2020-17023)

先週末に緊急のセキュリティ情報&パッチが公開されていますが、”定例外のセキュリティアップデート”ぉぉぉみたいな記事出てますけど Windows Update でやってくるものではないです。

CVE-2020-17022 | Microsoft Windows Codecs Library Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17022
CVE-2020-17023 | Visual Studio JSON Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

1 つは...

1つは「デバイス製造元からの HEVC ビデオ拡張機能」(HEVC Video Extensions from Device Manufacturer)アプリというかコーデック。放っとけば自動更新されますが、急ぎたい場合は Microsoft Store の「ダウンロートと更新」から。ver 1.0.32762.0 または 1.0.32763.0 以降になれば OK(セキュア)。「設定」-「アプリ」で「HEVC」を検索するか、Get-AppxPackage -Name Microsoft.HEVCVideoExtension* を実行してバージョン確認。HEVC がもともとインストールされていなければそれはそれでいい。Intel の新しい世代の CPU とか特定の GPU のあるやつに入ってるっぽい。


 もう1つは 「Visual Studio Code(VS Code)」。バージョン 1.50.1 以降になっていれば たぶん OK。たぶんて書いたのは”Update 1.50.1: The update addresses these issues.”とかリリースノートの"The update addresses these issues, including a fix for a security vulnerability."をクリックしていってもそれらしきものにたどり着けないから。"including a fix for a security vulnerability."って書いてるのがそれだと思ってる。

VS Code をインストールしていない人には無関係。更新するには「Help」-「Check for Updates...」してからの「Reset for Updates(だったけかな?)」。

Windows、Microsoft Edge(Chromium-based)、Office(C2R)、Microsoft Storeアプリ、PowerShell Gallery(この 4 月に TLS 1.0/1.1 廃止されたので注意→"PowerShell ギャラリーは現在利用できません”の原因と回避) 、その他のアプリ(VS code)などなど、更新経路がいろいろあってなんだかとっ散らかってる気がする。

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。