Microsoft heeft buiten de vaste maandelijkse patchcyclus om beveiligingsupdates uitgebracht voor kwetsbaarheden in de Windows Codecs Library en Visual Studio waardoor een aanvaller op afstand code zou kunnen uitvoeren. Beide beveiligingslekken, aangeduid als CVE-2020-17022 en CVE-2020-17023 zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 7,8 beoordeeld.

De kwetsbaarheid in de Microsoft Windows Codecs Library werd veroorzaakt door de manier waarop de library omging met objecten in het geheugen. Om willekeurige code op het systeem van een slachtoffer uit te voeren had er een special geprepareerde afbeelding door de library moeten worden verwerkt. Microsoft benadrukt dat gebruikers met een standaardconfiguratie van Windows niet kwetsbaar zijn. Alleen gebruikers die de optionele HEVC of "HEVC from Device Manufacturer" media codecs van de Microsoft Store hebben geïnstalleerd liepen risico.

De betreffende beveiligingsupdate wordt automatisch door de Microsoft Store geïnstalleerd, tenzij gebruikers de automatische updatefunctie hebben uitgeschakeld . Microsoft brengt standaard elke tweede dinsdag van de maand beveiligingsupdates uit, maar dat geldt niet voor apps die in de Microsoft Store zijn te vinden. Updates voor deze programma's verschijnen wanneer noodzakelijk, aldus het techbedrijf.

In het geval van de kwetsbaarheid in Visual Studio had een gebruiker een kwaadaardig 'package.json' bestand moeten openen, waarna het mogelijk was om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren. Een aanvaller had het doelwit wel eerst moeten overtuigen om een repository te klonen en die in Visual Studio Code te openen. De update voor het programma verhelpt de manier waarop Visual Studio met JSON-bestanden omgaat.