微软发布2020年10月月度安全公告

2020-10-14 10:36:01
微软发布2020年10月安全公告,此次安全更新发布了 87 个漏洞的补丁,涉及Windows、Office、Exchange、.Net framework等相关组件,严重级别漏洞11个,75个重要级别。

20201014日,微软官方发布202010月份安全公告(https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Oct

 

此次安全更新发布了 87 个漏洞的补丁,涉及以下组件:

Microsoft Windows

Microsoft Office、Microsoft Office Services 和 Web 应用

Microsoft JET 数据库引擎

Azure 功能

开放源代码软件

Microsoft Exchange Server

Visual Studio

PowerShellGet

Microsoft .NET Framework

Microsoft Dynamics

Microsoft Windows 编解码器库



包括 11 个严重, 75 个重要级别,1个中等级别漏洞。

本次安全更新存在1个漏洞等级为严重且易利用的WindowsTCP/IP漏洞(CVSS评分9.8,漏洞编号:CVE-2020-16898),以及其他6个信息公开的漏洞。


腾讯安全专家建议用户使用Win
dows更新升级到最新版本,腾讯电脑管家、腾讯T-Sec终端安全管理系统将在稍后同步漏洞库,以方便用户升级安装。

 

202010月安全公告中值得关注的漏洞如下:

CVE-2020-16898: Windows TCP/IP 远程代码执行漏洞

Windows TCP/IP 堆栈不当处理 ICMPv6 Router Advertisement 数据包时,存在一处远程执行代码漏洞。

 

远程攻击者通过构造特制的数据包并发送到受影响的主机,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

 

CVE-2020-16947: Microsoft Outlook 远程代码执行漏洞

Microsoft Outlook 软件无法正确处理内存中的对象时,存在一处远程代码执行漏洞。

 

远程攻击者通过构造特制的邮件内容发送到使用Outlook 的用户,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16947

 

 

CVE-2020-16891: Windows Hyper-V远程执行代码漏洞

Windows Hyper-V 无法正确验证虚拟操作系统上经身份验证的用户的输入时,存在一处远程执行代码漏洞。

 

远程攻击者通过构造特制的二进制程序,并诱使用户在 Hyper-V 虚拟系统中打开,成功利用此漏洞的攻击者可在绕过Hyper-V在Windows主系统上执行任意代码,并控制该主机。

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16891

 

CVE-2020-16909: Windows错误报告组件特权提升漏洞

Windows 错误报告 (WER)组件在处理和执行文件时,存在一处特权提升漏洞。

 

远程攻击者通过构造特制的二进制程序,并诱使用户打开,成功利用此漏洞的攻击者可获得更高的用户权限,并控制该主机。

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16909

 

微软标记该漏洞信息已经公开

 

更多信息,可参考微软官网202010月安全更新摘要:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct

 

最新资讯