服務(wù)公告

全部公告 > 安全公告 > 微軟4月份月度安全漏洞預(yù)警

微軟4月份月度安全漏洞預(yù)警

2020-04-15

一、概要

近日，微軟發(fā)布4月份安全補(bǔ)丁更新，共披露了113個(gè)安全漏洞，其中17個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，權(quán)限提升，敏感信息獲取，拒絕服務(wù)等。受影響的應(yīng)用包括：Microsoft Windows、Microsoft Edge、Office，Windows Defender等組件。

微軟官方說(shuō)明：

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr

此次補(bǔ)丁更新包含了三月份披露的微軟Type 1字體解析遠(yuǎn)程代碼執(zhí)行0day漏洞（CVE-2020-1020）的安全補(bǔ)丁，同時(shí)還提供了另一個(gè)由Adobe Font Manager庫(kù)導(dǎo)致的遠(yuǎn)程代碼執(zhí)行0day漏洞（CVE-2020-0938）的安全補(bǔ)丁。這兩處漏洞影響windows所有受支持的版本，且目前已發(fā)現(xiàn)在野攻擊利用，請(qǐng)受影響的用戶(hù)盡快更新補(bǔ)丁。

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說(shuō)明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

Microsoft Windows、Microsoft Edge、Office，Windows Defender等產(chǎn)品。

四、重要漏洞說(shuō)明詳情

CVE編號(hào)	漏洞名稱(chēng)	嚴(yán)重程度	漏洞描述
CVE-2020-0938 CVE-2020-1020	Adobe Font Manager庫(kù)遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)Windows Adobe類(lèi)型管理器庫(kù)不適當(dāng)?shù)靥幚硖刂频亩嘀髯煮w-Adobe Type 1 PostScript格式時(shí)，Microsoft Windows中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。對(duì)于Windows 10以外的所有系統(tǒng)，成功利用此漏洞的攻擊者可以遠(yuǎn)程執(zhí)行代碼。對(duì)于運(yùn)行Windows 10的系統(tǒng)，成功利用此漏洞的攻擊者可以以有限的特權(quán)和功能在AppContainer沙箱上下文中執(zhí)行代碼。
CVE-2020-1022	Dynamics Business Central遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Microsoft Dynamics Business Central中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在受害者的服務(wù)器上執(zhí)行任意shell命令。
CVE-2020-0967	VBScript遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	BScript引擎處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。
CVE-2020-0910	Windows Hyper-V遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)主機(jī)服務(wù)器上的Windows Hyper-V無(wú)法正確驗(yàn)證來(lái)賓操作系統(tǒng)上經(jīng)過(guò)身份驗(yàn)證的用戶(hù)的輸入時(shí)，將存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在主機(jī)操作系統(tǒng)上執(zhí)行任意代碼。
CVE-2020-0687	Microsoft圖形遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Windows字體庫(kù)不適當(dāng)?shù)靥幚硖刂魄度胧阶煮w時(shí)，存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。
CVE-2020-0907	Microsoft圖形組件遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Microsoft圖形組件處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
CVE-2020-0965	Microsoft Windows編解碼器庫(kù)遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Microsoft Windows Codecs庫(kù)處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以執(zhí)行任意代碼。
CVE-2020-0929 CVE-2020-0931 CVE-2020-0932 CVE-2020-0974	Microsoft SharePoint遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)軟件無(wú)法檢查應(yīng)用程序包的源標(biāo)記時(shí)，Microsoft SharePoint中將存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在SharePoint應(yīng)用程序池和SharePoint服務(wù)器場(chǎng)帳戶(hù)的上下文中運(yùn)行任意代碼。
CVE-2020-0949 CVE-2020-0948 CVE-2020-0950	Media Foundation內(nèi)存損壞漏洞	嚴(yán)重	Windows Media Foundation不正確地處理內(nèi)存中的對(duì)象時(shí)，存在內(nèi)存損壞漏洞。成功利用此漏洞的攻擊者可以安裝程序。查看，更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶(hù)權(quán)限的新帳戶(hù)。
CVE-2020-0969	Chakra腳本引擎內(nèi)存損壞漏洞	嚴(yán)重	Chakra腳本引擎處理Microsoft Edge（基于HTML）的內(nèi)存中的對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。
CVE-2020-0968	腳本引擎內(nèi)存損壞漏洞	嚴(yán)重	腳本引擎處理Internet Explorer中內(nèi)存中的對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。漏洞影響Internet Explorer 11。
CVE-2020-0970	腳本引擎內(nèi)存損壞漏洞	嚴(yán)重	ChakraCore腳本引擎處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。漏洞影響Microsoft Edge (EdgeHTML-based)。

（注：以上為嚴(yán)重漏洞，其他漏洞及詳情請(qǐng)參見(jiàn)微軟官方說(shuō)明）

五、安全建議

1、可通過(guò)Windows Update自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動(dòng)下載補(bǔ)丁，補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。

五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

服務(wù)公告

微軟4月份月度安全漏洞預(yù)警

2020-04-15