微软发布例行安全性更新,修复众多漏洞
微软在刚刚过去的“补丁星期二”发布了用于修补113个新漏洞的安全性更新,这些漏洞当中有17个漏洞是“致命性”的,并且总共有96个漏洞的严重性是被评为“重要”。
之前我们报导过Windows出现了两个当时无法修补、只能绕开的安全漏洞(CVE-2020-1020、CVE-2020-0938),这两个漏洞都是与Windows的Adobe Type Manager Library有关,而这次的安全性更新就包括了这两个漏洞的修复。
微软这次还修复了两个已被利用起来的零日漏洞,分别为CVE-2020-1027以及CVE-2020-0968。前者为一个在Windows内核中的权限提升漏洞,后者则是一个内存损壊错误,影响IE第9以及第11个版本的脚本引擎,可以让攻击者透过诱使受害者打开一个特制的网页来远程攻击他们的计算机。
这次的修复还包括一个隐藏在OneDrive内,不过没被黑客利用的权限提升漏洞CVD-2020-0935。
除此之外,还修复了5个潜在漏洞,其中有4个是由于无法检查应用程序包的源标记(Source markup),从而允许攻击者远程地在受影响的计算机上执行任意代码。而剩下的一个则是跨站点脚本(XSS)问题CVE-2020-0927,可以被认证过身份的攻击者透过发送特制的请求到服影响的SharePoint服务器来利用。
还有另一个需要注意的潜在漏洞CVE-2020-0910,它的严重性被评为“致命的”,影响Windows的Hyper-V功能,允许访客虚拟机破坏Hypervisor,逃逸到主机(host)或者另一部访客虚拟机上。
Windows用户最好尽快安装这次的安全性更新,因为之前有报导表示国外有不少不法份子在黑客论坛上趁着疫情低价出售各种入侵工具及软件。虽然国内并不一定会因此受影响,但最好还是注意一下。
有关本次更新的更详细数据可以在这里查看。