微软今天已经发布了每月的安全更新汇总,称为星期二补丁。
本月的更新是一个庞大的版本。如今,这家操作系统制造商已经提供了针对11种产品的113个漏洞的补丁程序,其中包括3个零时差漏洞,这些漏洞在野外都被积极利用。
与往常一样,暂时没有任何细节。有关零日攻击的详细信息通常会保留数天或数周,以使用户有时间修补并防止攻击者开发概念验证代码。
本月修补的三个零天是:
CVE-2020-1020 -Windows Adobe Type Manager库中的漏洞使攻击者可以在易受攻击的系统上运行代码。攻击可以远程执行。零时差不会影响Windows10。有关零日差的详细信息已于上个月公开,但仅在今天发布了补丁。在我们以前的报道中阅读更多内容。
CVE-2020-0938-这是同一Windows Adobe Type Manager库中的第二个错误。错误与上面的错误有些类似,但它的存在仅在今天才公开,与第一个错误不同。上个月发布的Microsoft缓解措施(如果应用)还阻止了利用第二个漏洞的攻击。
CVE-2020-1027 -Windows内核中的错误使攻击者可以提升特权以运行具有内核访问权限的代码。
CVE-2020-0968 -一个bug在Internet Explorer的脚本引擎可能会让攻击者采取控制远程̶s̶y̶s̶t̶e̶m̶.̶后这篇文章去住,微软发布的CVE-2020-0968安全公告的修正,以更新其开发现状。该漏洞以前从未被野蛮利用过,因此它不是零日漏洞。文章内容和标题已相应更新。
根据微软的说法,前三个零日是由Google的两个安全团队-零项目和威胁分析小组(TAG)发现并报告的。
由于没有其他细节,目前尚不清楚是同一威胁参与者还是在同一黑客攻击活动中使用了三个零日。
由于Patch Tuesday更新是批量提供的,因此安装今天的更新可以一次修复所有三个零天,以及109个其他安全漏洞。
| 标签 | CVE ID | CVE标题 |
|---|---|---|
| Android应用程式 | CVE-2020-0943 | Microsoft YourPhone应用程序用于Android身份验证绕过漏洞 |
| 应用 | CVE-2020-1019 | Mac特权提升的Microsoft RMS共享应用程序漏洞 |
| Microsoft动态 | CVE-2020-1050 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 |
| Microsoft动态 | CVE-2020-1018 | Microsoft Dynamics Business Central / NAV信息披露 |
| Microsoft动态 | CVE-2020-1049 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 |
| Microsoft动态 | CVE-2020-1022 | Dynamics Business Central远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-0952 | Windows GDI信息泄露漏洞 |
| Microsoft图形组件 | CVE-2020-0938 | Adobe Font Manager库远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-0687 | Microsoft图形远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-0987 | Microsoft图形组件信息泄露漏洞 |
| Microsoft图形组件 | CVE-2020-1004 | Windows图形组件特权提升漏洞 |
| Microsoft图形组件 | CVE-2020-1005 | Microsoft图形组件信息泄露漏洞 |
| Microsoft图形组件 | CVE-2020-0958 | Win32k特权提升漏洞 |
| Microsoft图形组件 | CVE-2020-0907 | Microsoft图形组件远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-0982 | Microsoft图形组件信息泄露漏洞 |
| Microsoft图形组件 | CVE-2020-0964 | GDI +远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-1020 | Adobe Font Manager库远程执行代码漏洞 |
| Microsoft图形组件 | CVE-2020-0784 | DirectX特权提升漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0995 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0999 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0988 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0992 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0994 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0953 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0889 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0959 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-0960 | Jet数据库引擎远程执行代码漏洞 |
| Microsoft JET数据库引擎 | CVE-2020-1008 | Jet数据库引擎远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0979 | Microsoft Excel远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0980 | Microsoft Word远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0984 | Microsoft(MAU)Office特权提升漏洞 |
| 微软办公软件 | CVE-2020-0760 | Microsoft Office远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0991 | Microsoft Office远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0961 | Microsoft Office Access连接引擎远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0931 | Microsoft SharePoint远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0906 | Microsoft Excel远程执行代码漏洞 |
| 微软办公软件 | CVE-2020-0935 | Windows的OneDrive特权提升漏洞 |
| Microsoft Office SharePoint | CVE-2020-0927 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0923 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0925 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0924 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0932 | Microsoft SharePoint远程执行代码漏洞 |
| Microsoft Office SharePoint | CVE-2020-0930 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0933 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0920 | Microsoft SharePoint远程执行代码漏洞 |
| Microsoft Office SharePoint | CVE-2020-0929 | Microsoft SharePoint远程执行代码漏洞 |
| Microsoft Office SharePoint | CVE-2020-0971 | Microsoft SharePoint远程执行代码漏洞 |
| Microsoft Office SharePoint | CVE-2020-0975 | Microsoft SharePoint欺骗漏洞 |
| Microsoft Office SharePoint | CVE-2020-0978 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0977 | Microsoft SharePoint欺骗漏洞 |
| Microsoft Office SharePoint | CVE-2020-0976 | Microsoft SharePoint欺骗漏洞 |
| Microsoft Office SharePoint | CVE-2020-0974 | Microsoft SharePoint远程执行代码漏洞 |
| Microsoft Office SharePoint | CVE-2020-0973 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0972 | Microsoft SharePoint欺骗漏洞 |
| Microsoft Office SharePoint | CVE-2020-0954 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft Office SharePoint | CVE-2020-0926 | Microsoft Office SharePoint XSS漏洞 |
| Microsoft脚本引擎 | CVE-2020-0968 | 脚本引擎内存损坏漏洞 |
| Microsoft脚本引擎 | CVE-2020-0966 | VBScript远程执行代码漏洞 |
| Microsoft脚本引擎 | CVE-2020-0895 | Windows VBScript引擎远程执行代码漏洞 |
| Microsoft脚本引擎 | CVE-2020-0969 | Chakra脚本引擎内存损坏漏洞 |
| Microsoft脚本引擎 | CVE-2020-0970 | 脚本引擎内存损坏漏洞 |
| Microsoft脚本引擎 | CVE-2020-0967 | VBScript远程执行代码漏洞 |
| 微软Windows | CVE-2020-0942 | 连接的用户体验和遥测服务特权提升 |
| 微软Windows | CVE-2020-0965 | Microsoft Windows编解码器库远程执行代码漏洞 |
| 微软Windows | CVE-2020-0940 | Windows推送通知服务特权提升漏洞 |
| 微软Windows | CVE-2020-0934 | Windows特权提升漏洞 |
| 微软Windows | CVE-2020-1029 | 连接的用户体验和遥测服务特权提升 |
| 微软Windows | CVE-2020-1011 | Windows特权提升漏洞 |
| 微软Windows | CVE-2020-1094 | Windows Work文件夹服务特权提升漏洞 |
| 微软Windows | CVE-2020-1016 | Windows推送通知服务信息泄露漏洞 |
| 微软Windows | CVE-2020-0794 | Windows拒绝服务漏洞 |
| 微软Windows | CVE-2020-1017 | Windows推送通知服务特权提升漏洞 |
| 微软Windows | CVE-2020-0944 | 连接的用户体验和遥测服务特权提升 |
| 微软Windows | CVE-2020-1006 | Windows推送通知服务特权提升漏洞 |
| 微软Windows | CVE-2020-1009 | Windows特权提升漏洞 |
| 微软Windows | CVE-2020-0981 | Windows令牌安全功能绕过漏洞 |
| 微软Windows | CVE-2020-1001 | Windows推送通知服务特权提升漏洞 |
| Microsoft Windows DNS | CVE-2020-0993 | Windows DNS拒绝服务漏洞 |
| 开源软件 | CVE-2020-1026 | MSR JavaScript密码库安全功能绕过漏洞 |
| 远程桌面客户端 | CVE-2020-0919 | Mac的Microsoft远程桌面应用程序特权提升漏洞 |
| 视觉工作室 | CVE-2020-0899 | Microsoft Visual Studio特权提升漏洞 |
| 视觉工作室 | CVE-2020-0900 | Visual Studio扩展安装程序服务特权提升漏洞 |
| Windows Defender的 | CVE-2020-1002 | Microsoft Defender特权提升漏洞 |
| Windows Defender的 | CVE-2020-0835 | Windows Defender反恶意软件平台硬链接特权提升漏洞 |
| Windows Hyper-V | CVE-2020-0918 | Windows Hyper-V特权提升漏洞 |
| Windows Hyper-V | CVE-2020-0910 | Windows Hyper-V远程执行代码漏洞 |
| Windows Hyper-V | CVE-2020-0917 | Windows Hyper-V特权提升漏洞 |
| Windows内核 | CVE-2020-0699 | Win32k信息泄露漏洞 |
| Windows内核 | CVE-2020-1027 | Windows内核特权提升漏洞 |
| Windows内核 | CVE-2020-1003 | Windows内核特权提升漏洞 |
| Windows内核 | CVE-2020-0955 | CPU内存访问中的Windows内核信息披露 |
| Windows内核 | CVE-2020-1015 | Windows特权提升漏洞 |
| Windows内核 | CVE-2020-1000 | Windows内核特权提升漏洞 |
| Windows内核 | CVE-2020-1007 | Windows内核信息泄露漏洞 |
| Windows内核 | CVE-2020-0957 | Win32k特权提升漏洞 |
| Windows内核 | CVE-2020-0936 | Windows计划任务特权提升漏洞 |
| Windows内核 | CVE-2020-0956 | Win32k特权提升漏洞 |
| Windows内核 | CVE-2020-0962 | Win32k信息泄露漏洞 |
| Windows内核 | CVE-2020-0821 | Windows内核信息泄露漏洞 |
| Windows内核 | CVE-2020-0913 | Windows内核特权提升漏洞 |
| Windows内核 | CVE-2020-0888 | DirectX特权提升漏洞 |
| Windows媒体 | CVE-2020-0948 | Media Foundation内存损坏漏洞 |
| Windows媒体 | CVE-2020-0937 | Media Foundation信息泄露漏洞 |
| Windows媒体 | CVE-2020-0949 | Media Foundation内存损坏漏洞 |
| Windows媒体 | CVE-2020-0939 | Media Foundation信息泄露漏洞 |
| Windows媒体 | CVE-2020-0950 | Media Foundation内存损坏漏洞 |
| Windows媒体 | CVE-2020-0946 | Media Foundation信息泄露漏洞 |
| Windows媒体 | CVE-2020-0947 | Media Foundation信息泄露漏洞 |
| Windows媒体 | CVE-2020-0945 | Media Foundation信息泄露漏洞 |
| Windows更新堆栈 | CVE-2020-0996 | Windows Update堆栈特权提升漏洞 |
| Windows更新堆栈 | CVE-2020-1014 | Microsoft Windows Update Client特权提升漏洞 |
| Windows更新堆栈 | CVE-2020-0983 | Windows特权提升漏洞 |
| Windows更新堆栈 | CVE-2020-0985 | Windows Update堆栈特权提升漏洞 |
*编译:Domino
*来自:ZDNET