微軟在剛剛過去的“補丁星期二”發佈了用於修補113個新漏洞的安全性更新,這些漏洞當中有17個漏洞是“致命性”的,並且總共有96個漏洞的嚴重性是被評為“重要”。
之前我們報導過Windows出現了兩個當時無法修補、只能繞開的安全漏洞(CVE-2020-1020、CVE-2020-0938),這兩個漏洞都是與Windows的Adobe Type Manager Library有關,而這次的安全性更新就包括了這兩個漏洞的修復。
微軟這次還修復了兩個已被利用起來的零日漏洞,分別為CVE-2020-1027以及CVE-2020-0968。前者為一個在Windows內核中的權限提升漏洞,後者則是一個內存損壊錯誤,影響IE第9以及第11個版本的腳本引擎,可以讓攻擊者透過誘使受害者打開一個特製的網頁來遠程攻擊他們的計算機。
這次的修復還包括一個隱藏在OneDrive內,不過沒被黑客利用的權限提升漏洞CVD-2020-0935。
除此之外,還修復了5個潛在漏洞,其中有4個是由於無法檢查應用程序包的源標記(Source markup),從而允許攻擊者遠程地在受影響的計算機上執行任意代碼。而剩下的一個則是跨站點腳本(XSS)問題CVE-2020-0927,可以被認證過身份的攻擊者透過發送特製的請求到服影響的SharePoint服務器來利用。
還有另一個需要注意的潛在漏洞CVE-2020-0910,它的嚴重性被評為“致命的”,影響Windows的Hyper-V功能,允許訪客虛擬機破壞Hypervisor,逃逸到主機(host)或者另一部訪客虛擬機上。
Windows用戶最好儘快安裝這次的安全性更新,因為之前有報導表示國外有不少不法份子在黑客論壇上趁著疫情低價出售各種入侵工具及軟件。雖然國內並不一定會因此受影響,但最好還是注意一下。
有關本次更新的更詳細數據可以在這裡查看。
