微软发布9月安全公告,腾讯安全专家建议用户尽快修复

2020-09-09 10:31:07
微软发布9月例行安全更新公告,本月公告包括129个CVE,其中严重级别23个,重要级别104个。

微软于99日(北京时间)发布9月例行安全更新公告,本月公告包括129CVE,其中严重级别23个,重要级别104个。按漏洞性质分类:38个可导致远程代码执行,41个可导致特权提升,23个可导致信息泄露,5个可导致拒绝服务,4个可导致安全功能绕过。

 

20209月安全公告涉及以下组件:

·         Microsoft Windows

·         Microsoft Edge(基于 EdgeHTML

·         Microsoft Edge(基于 Chromium

·         Microsoft ChakraCore

·         Internet Explorer

·         SQL Server

·         Microsoft JET 数据库引擎

·         Microsoft OfficeMicrosoft Office Services Web 应用

·         Microsoft Dynamics

·         Visual Studio

·         Microsoft Exchange Server

·         ASP.NET

·         Microsoft OneDrive

·         Azure DevOps

 

腾讯安全专家建议用户使用Windows Update或腾讯电脑管家的漏洞修复功能安装补丁。

 

以下漏洞建议重点关注:

 

CVE-2020-1031 | Windows DHCP Server 信息泄漏漏洞

Windows Server DHCP 服务不当披露其内存中的内容时,存在信息泄漏漏洞。 

若要利用此漏洞,经过身份验证的攻击者可以向受影响的 DHCP 服务器发送经特殊设计的数据包。成功利用此漏洞的攻击者可以获取信息,从而进一步入侵用户系统。 

此安全更新程序通过更正 DHCP 服务器初始化内存的方式来修复此漏洞。

 

参考链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1031

 

CVE-2020-1440 | Microsoft SharePoint Server篡改漏洞 

Microsoft SharePoint Server无法正确处理配置文件数据时,存在篡改漏洞。成功利用此漏洞的攻击者可以修改目标用户的配置文件数据。 

为了利用此攻击,攻击者需要在SharePoint Server上进行身份验证。然后,攻击者需要向服务器发送特别修改的请求,从而将特定用户作为目标。 

此安全更新通过修改Microsoft SharePoint Server处理配置文件数据的方式来修复此漏洞。

 

参考链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1440

 

CVE-2020-16875|Microsoft Exchange服务器远程执行代码漏洞

漏洞评分:9.1 

由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。 

成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要以某个Exchange角色进行身份验证的用户受到威胁。 

该安全更新通过更正Microsoft Exchange处理cmdlet参数的方式来解决此漏洞。

 

参考链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-16875 

 

CVE-2020-0997 | Windows摄像头编解码器远程代码执行漏洞

漏洞评分7.8 

当Windows摄像头编码解码器不正确地处理内存中的对象时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。

若要利用该漏洞,需要用户打开一个利用漏洞特殊设计的文件。在电子邮件攻击中,攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。

在基于Web的攻击中,攻击者可能托管一个网站(或利用一个入侵的网站来实现),其中包含一个经特殊设计的逐步利用此漏洞的页面,攻击者诱导用户点击链接,通常是在电子邮件或即时消息中放置诱导信息,让用户打开经特殊设计的网页。 
此安全更新通过更正Windows摄像头编码解码器处理内存中对象的方式来修复此漏洞。


参考链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0997

 

有关9月安全更新的更多信息,请参考9月微软官方安全更新指南:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Sep

最新资讯