微软更新9月补丁共修复129个漏洞

2020-09-11 16:22:53 1 1371

本月的周二补丁日,微软发布了一批安全更新,修复了共计129个新被发现的安全漏洞,影响多个版本的Windows操作系统及相关的软件。


本月的周二补丁日,微软发布了一批安全更新,修复了共计129个新被发现的安全漏洞,影响多个版本的Windows操作系统及相关的软件。

129个漏洞分布在多个产品当中 —— Windows、Edge、IE、ChakraCore、SQL Server、Exchange Server、Office、ASP.NET、OneDrive、Azure DevOps、Visual Studio、Microsoft Dynamics —— 新的补丁中,23个被列为关键补丁,105个为重要补丁,1个为中度补丁。

与过去几个月不同的是,这家科技巨头9月修补的安全漏洞中没有一个被列为公众所知或是正在遭受攻击。

Exchange的内存损坏漏洞(CVE-2020-16875)非常值得关注,该漏洞的利用可通过向存在漏洞的Exchange服务器发送精心构造的Email,来以SYSTEM权限执行任意代码。

"当Exchange无法正确地处理内存中的对象时,远程代码执行漏洞将被触发。"微软官方这样解释到。"攻击者紧接着可以在上面安装程序,查看、更改、删除数据,或是创建新的账户。"

微软还修补了Windows Codecs Library中的2个远程代码执行漏洞,它们都在Windows Codecs Library处理内存中的对象时触发,但CVE-2020-1129可以被利用以获取用户信息并进一步危害用户系统,而CVE-2020-1319可以被用来控制受影响的系统。

此外,有2个远程命令执行漏洞影响Microsoft Dynamics 365,但它们都需要对攻击者进行身份验证。

微软修补了SharePoint中的6个严重的远程代码执行漏洞以及SharePoint Server中的1个漏洞。SharePoint Server中的漏洞需要进行身份验证,而SharePoint中的漏洞则无需验证。

本月,这家科技巨头修复的其他严重漏洞还包括Windows、Windows Media Audio Decoder、Windows Text Service Module、Windows Camera Codec Pack、Visual Studio、Scripting Engine、Microsoft COM for Windows、Microsoft Browser以及Graphics Device Interface。

重要漏洞包括Windows、Active Directory、Active Directory Federation Services (ADFS)、Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint, Word, OneDrive for Windows, Scripting Engine, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS等。

上述的大部分漏洞会引起信息泄露、权限提升以及跨站脚本漏洞。有些还会导致远程代码执行漏洞。相比之下,另一些会造成安全功能绕过、欺骗、篡改以及拒绝服务攻击。

强烈建议Windows用户和系统管理员尽快安装最新的安全补丁,以防止网络罪犯和黑客控制他们的电脑。

要安装安全更新,请转到"设置" -> "更新和安全" -> "Windows更新" -> "检查更新"或"手动安装更新"。

关于作者

skevdv6篇文章33篇回复

评论1次

要评论?请先  登录  或  注册
  • 1楼
    2020-9-22 18:46

    每次更新都是等360发出预警,然后我们才发预警,360是真的快,基本上午都能发