微软9月Patch Tuesday修补129个安全漏洞,23个被列为重大等级
文/陈晓莉 | 2020-09-09发表
微软于本周二(9/8)释出9月的安全更新,总计修补了129个安全漏洞,当中有23个被列
为重大(Critical)等级,趋势科技旗下的Zero-Day Initiative(ZDI)则将
CVE-2020-16875视为此次微软所修补的最严重漏洞。
此次安全更新涉及了15项微软产品,从Windows、Dynamics 365 、Microsoft Edge、
Microsoft Exchange、SharePoint到ASP.NET等,但并未有任何漏洞已被公开或开采。
遭ZDI点名的CVE-2020-16875漏洞,藏匿在Microsoft Exchange服务器上,源自于它没能
正确验证cmdlet参数。骇客只要传送一个特制的邮件就能开采该漏洞,成功的开采将允许
骇客以系统权限自远端执行任意程式。由于之前类似的CVE-2020-0688漏洞很快就成为骇
客的攻击目标,在有了前车之鉴之后,ZDI建议企业应优先修补CVE-2020-16875。
不过,其实还有2个漏洞的CVSSv3的风险等级达到9.90,高于CVE-2020-16875的9.10,它
们是CVE-2020-1210与CVE-2020-1595,皆属于Microsoft SharePoint的远端程式攻击漏洞
。
其中,CVE-2020-1210是因Microsoft SharePoint无法检查应用程式套件的来源标记所造
成,骇客只要上传一个特制的SharePoint应用程式套件就能开采该漏洞。CVE-2020-1595
则是肇因于在不安全的资料输入时,APIs无法妥善被保护,骇客只要利用特定格式的输入
来存取易受害的API就能开采漏洞。
另一个值得注意的漏洞,是与Microsoft COM for Windows有关的CVE-2020-0922,问题出
在于它处理内存中物件的方式,骇客只要诱导使用者开启一个恶意档案,或是将使用者
引导至含有恶意JavaScript的网站上就能开采该漏洞,成功的开采亦允许骇客执行任意程
式。
藏匿在Windows Codecs Library的CVE-2020-1129漏洞,也是因该函式库不当处理内存
中物件而产生,骇客只要诱导使用者检视一个特制的图片就能开采,并自远端执行任意程
式。
https://www.ithome.com.tw/news/139876
快更新!别让自己成为骇客眼中的肥羊!