微软发布4月安全补丁 修复113个安全问题
2020-04-15
微软于周二发布了4月安全更新补丁,修复了113个从简单的欺骗攻击到远程执行代码的安全问题。产品涉及Android App、Apps、Microsoft Dynamics、Microsoft Graphics Component、Microsoft JET Database Engine、Microsoft Office、Microsoft Office SharePoint、Microsoft Scripting Engine、Microsoft Windows、Microsoft Windows DNS、Open Source Software、Remote Desktop Client、Visual Studio、Windows Defender、Windows Hyper-V、Windows Kernel、Windows Media以及Windows Update Stack。
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr
关键漏洞概述
本次更新微软共修复17个Critical级别漏洞,部分概述如下。
- CVE-2020-0687
Microsoft Graphics 远程代码执行漏洞
漏洞由Windows字体库对特制嵌入式字体处理不当造成,攻击者可能以多种方式利用此漏洞。
一种是在基于 web 的场景中,通过诱导用户访问特制的网站来利用漏洞。另一种是在文件共享场景下,会诱导用户打开特制文档。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0687
- CVE-2020-0907
Microsoft 图形组件远程代码执行漏洞
在 Microsoft 图形组件处理内存中对象的过程中存在一个远程代码执行漏洞。仅当用户打开特制文件时,才会触发此漏洞,成功利用漏洞的攻击者可以在目标系统上执行任意代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0907
- CVE-2020-0929,CVE-2020-0931,CVE-2020-0932
Microsoft SharePoint远程执行代码漏洞
若要利用这些漏洞,攻击者需要将特制的SharePoint程序包上传至受影响版本的SharePoint,以允许他们在SharePoint应用程序池和SharePoint服务器中执行任意代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0929
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0931
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0932
- CVE-2020-0938和CVE-2020-1020
Windows Adobe Font Manager库远程执行代码漏洞
当Windows Adobe Type Manager库对multi-master字体(Adobe Type 1 PostScript格式)处理不当时出现的远程执行代码漏洞。
如果攻击者在Windows 10以外的任何操作系统上利用此bug,可实现远程执行任意代码。在Windows 10上,它们将仅限于以有限的特权在AppContainer沙箱中执行代码。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020
- CVE-2020-0968
Internet Explorer 中,脚本引擎在处理内存中对象的过程中存在一个远程代码执行漏洞。
该漏洞可破坏内存,使攻击者在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可获得与当前用户相同的权限。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0968
- CVE-2020-0970、CVE-2020-0969
分别是ChakraCore脚本引擎和Chakra脚本引擎处理内存中对象时存在的远程代码执行漏洞。影响Microsoft Edge (EdgeHTML-based),该漏洞可破坏内存,使攻击者在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可获得与当前用户相同的权限。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0970
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0969
相关信息如下:
| 产品 | CVE 编号 | CVE 标题 | 严重程度 |
| Microsoft Dynamics | CVE-2020-1022 | Dynamics Business Central 远程代码执行漏洞 | Critical |
| Microsoft Graphics Component | CVE-2020-0907 | Microsoft Graphics Components 远程代码执行漏洞 | Critical |
| Microsoft Graphics Component | CVE-2020-0687 | Microsoft Graphics 远程代码执行漏洞 | Critical |
| Microsoft Graphics Component | CVE-2020-0938 | Adobe Font Manager Library 远程代码执行漏洞 | Critical |
| Microsoft Graphics Component | CVE-2020-1020 | Adobe Font Manager Library 远程代码执行漏洞 | Critical |
| Microsoft Office | CVE-2020-0931 | Microsoft SharePoint 远程代码执行漏洞 | Critical |
| Microsoft Office SharePoint | CVE-2020-0929 | Microsoft SharePoint 远程代码执行漏洞 | Critical |
| Microsoft Office SharePoint | CVE-2020-0932 | Microsoft SharePoint 远程代码执行漏洞 | Critical |
| Microsoft Office SharePoint | CVE-2020-0974 | Microsoft SharePoint 远程代码执行漏洞 | Critical |
| Microsoft Scripting Engine | CVE-2020-0968 | Scripting Engine 内存破坏漏洞 | Critical |
| Microsoft Scripting Engine | CVE-2020-0969 | Chakra Scripting Engine 内存破坏漏洞 | Critical |
| Microsoft Scripting Engine | CVE-2020-0970 | Scripting Engine 内存破坏漏洞 | Critical |
| Microsoft Windows | CVE-2020-0965 | Microsoft Windows Codecs Library 远程代码执行漏洞 | Critical |
| Windows Hyper-V | CVE-2020-0910 | Windows Hyper-V 远程代码执行漏洞 | Critical |
| Windows Media | CVE-2020-0948 | Media Foundation 内存破坏漏洞 | Critical |
| Windows Media | CVE-2020-0949 | Media Foundation 内存破坏漏洞 | Critical |
| Windows Media | CVE-2020-0950 | Media Foundation 内存破坏漏洞 | Critical |
| Android App | CVE-2020-0943 | Microsoft YourPhone Application for Android Authentication Bypass Vulnerability | Important |
| Apps | CVE-2020-1019 | Microsoft RMS Sharing App for Mac 特权提升漏洞 | Important |
| Microsoft Dynamics | CVE-2020-1018 | Microsoft Dynamics Business Central/NAV Information Disclosure | Important |
| Microsoft Dynamics | CVE-2020-1049 | Microsoft Dynamics 365 (On-Premise) Cross Site Scripting Vulnerability | Important |
| Microsoft Dynamics | CVE-2020-1050 | Microsoft Dynamics 365 (On-Premise) Cross Site Scripting Vulnerability | Important |
| Microsoft Graphics Component | CVE-2020-0784 | DirectX 特权提升漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-0987 | Microsoft Graphics Component 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-1004 | Windows Graphics Component 特权提升漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-1005 | Microsoft Graphics Component 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-0952 | Windows GDI 信息泄露漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-0958 | Win32k 特权提升漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-0964 | GDI+ 远程代码执行漏洞 | Important |
| Microsoft Graphics Component | CVE-2020-0982 | Microsoft Graphics Component 信息泄露漏洞 | Important |
| Microsoft JET Database Engine | CVE-2020-0988 | Jet Database Engine 远程代码执行漏洞 | Important |
| Microsoft JET Database Engine | CVE-2020-0992 | Jet Database Engine 远程代码执行漏洞 | Important |
| Microsoft JET Database Engine | CVE-2020-0994 | Jet Database Engine 远程代码执行漏洞 | Important |
| Microsoft JET Database Engine | CVE-2020-0995 | Jet Database Engi
✕
您的联系方式
购买热线
提交项目需求欢迎加入海王捕鱼,成为我们的合作伙伴!© 2024 NSFOCUS 海王捕鱼 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号 |
