【漏洞預(yù)警】CNNVD 關(guān)于微軟多個(gè)安全漏洞的通報(bào)2020年9
日期:2020-09-15 11:37:42
投稿人: CNNVD安全動態(tài)
近日��,微軟官方發(fā)布了多個(gè)安全漏洞的公告��,包括多款MicrosoftExchange server 安全漏洞(CNNVD-202009-374���、CVE-2020-16875)���、MicrosoftSharePoint 安全漏洞(CNNVD-202009-384���、CVE-2020-1452)�����、Microsoft Word 安全漏洞(CNNVD-202009-390�����、CVE-2020-1218)等多個(gè)漏洞�����。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù)��,提升權(quán)限等�����。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前�����,微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁���,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施���。
一���、漏洞介紹
2020年9月9日,微軟發(fā)布了2020年9月份安全更新���,共129個(gè)漏洞的補(bǔ)丁程序,CNNVD對這些漏洞進(jìn)行了收錄�����。本次更新涵蓋了Windows操作系統(tǒng)��、IE/Edge瀏覽器、ChakraCore��、SQL Server、Office 組件及Web Apps、Exchange服務(wù)器、OneDrive�����、.Net 框架���、Azure DevOps�����、Visual Studio��、Windows Defender等多個(gè)Windows平臺下應(yīng)用軟件和組件。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響��,具體影響范圍可訪問https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢���,其中部分重要漏洞詳情如下:
1��、Microsoft Exchange server 安全漏洞(CNNVD-202009-374、CVE-2020-16875)
漏洞簡介:Microsoft Exchange server中存在遠(yuǎn)程代碼執(zhí)行漏洞���,該漏洞源于cmdlet參數(shù)的驗(yàn)證不當(dāng)��,攻擊者可利用該漏洞在系統(tǒng)用戶上下文中運(yùn)行任意代碼���。
2�����、Microsoft SharePoint 安全漏洞(CNNVD-202009-384�����、CVE-2020-1452)(CNNVD-202009-382、CVE-2020-1460)(CNNVD-202009-393�����、CVE-2020-1200)(CNNVD-202009-391、CVE-2020-1210)(CNNVD-202009-376、CVE-2020-1576)
漏洞簡介:MicrosoftSharePoint 中存在安全漏洞���。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品中缺少身份驗(yàn)證措施或身份驗(yàn)證強(qiáng)度不足���。攻擊者可以利用該漏洞獲得與當(dāng)前用戶相同的用戶權(quán)限�����。
3�����、Microsoft Word 安全漏洞( CNNVD-202009-390���、CVE-2020-1218)( CNNVD-202009-386、 CVE-2020-1338)
漏洞簡介: Microsoft Word 中存在資源管理漏洞���。該漏洞源于軟件無法正確處理內(nèi)存中的對象。
4、Microsoft Excel 安全漏洞( CNNVD-202009-371�����、CVE-2020-1594)( CNNVD-202009-387、CVE-2020-1335)( CNNVD-202009-372、CVE-2020-1332)( CNNVD-202009-373、CVE-2020-1193)
漏洞簡介:Microsoft Excel 中存在授權(quán)問題漏洞�����。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品中缺少身份驗(yàn)證措施或身份驗(yàn)證強(qiáng)度不足�����。攻擊者可以利用該漏洞獲得與當(dāng)前用戶相同的用戶權(quán)限。
5、Microsoft Dynamics 365和Microsoft Dynamics 安全漏洞( CNNVD-202009-490、 CVE-2020-16862)(CNNVD-202009-467、CVE-2020-16860)
漏洞簡介:Microsoft Dynamics 365 (on-premises) 存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞允許攻擊者向易受攻擊的Dynamics 服務(wù)器發(fā)送特制的請求��,從而導(dǎo)致攻擊者可以在SQL服務(wù)帳戶中運(yùn)行任意代碼。
6���、Microsoft Windows 安全漏洞(CNNVD-202009-412��、CVE-2020-1319)( CNNVD-202009-428�����、CVE-2020-1129)
漏洞簡介:Microsoft Windows Codecs 存在安全漏洞���,該漏洞源于處理內(nèi)存中的對象�����,存在遠(yuǎn)程執(zhí)行代碼漏洞�����。攻擊者可利用該漏洞獲取信息,從而進(jìn)一步入侵用戶系統(tǒng)�����。
7�����、Windows Media 安全漏洞( CNNVD-202009-407���、 CVE-2020-1508)(CNNVD-202009-399���、CVE-2020-1593)
漏洞簡介:Windows Media中存在安全漏洞�����。該漏洞源于 Windows Media 音頻解碼器不正確地處理對象���,攻擊者可利用該漏洞獲取用戶信息。
8���、Microsoft Windows Jet 數(shù)據(jù)庫安全漏洞( CNNVD-202009-434、CVE-2020-1074)(CNNVD-202009-438�����、CVE-2020-1039)
漏洞簡介:Windows Jet 數(shù)據(jù)庫存在安全漏洞���,該漏洞源于不正確地披露其內(nèi)存中的內(nèi)容。攻擊者可利用該漏洞執(zhí)行任意代碼��。
9、Windows GDI 安全漏洞( CNNVD-202009-415��、CVE-2020-1285)
漏洞簡介:Windows GDI中存在安全漏洞��。攻擊者可借助該漏洞控制受影響的系統(tǒng)��,可以安裝程序���;查看�����、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶�����。
10�����、Microsoft 瀏覽器安全漏洞( CNNVD-202009-368��、CVE-2020-0878)
漏洞簡介:Microsoft 瀏覽器存在安全漏洞,該漏洞允許攻擊者以執(zhí)行任意代碼的方式損壞內(nèi)存���,并可以獲得與當(dāng)前用戶相同的用戶權(quán)限��。
11���、Microsoft COM 安全漏洞( CNNVD-202009-452、CVE-2020-0922)
漏洞簡介:Microsoft COM存在遠(yuǎn)程代碼執(zhí)行漏洞�����,該漏洞源于外部輸入數(shù)據(jù)構(gòu)造代碼段的過程中�����,網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未正確過濾其中的特殊元素���。攻擊者可利用該漏洞生成非法的代碼段,修改網(wǎng)絡(luò)系統(tǒng)或組件的預(yù)期的執(zhí)行控制流���。
二��、修復(fù)建議
目前���,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時(shí)確認(rèn)漏洞影響��,盡快采取修補(bǔ)措施。微軟官方鏈接地址如下:
