本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大:CVE-2020-1380、CVE-2020-1570、CVE-2020-1555、CVE-2020-1567、CVE-2020-1483、CVE-2020-1585、CVE-2020-1560、CVE-2020-1574、CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554、CVE-2020-1568、CVE-2020-1046、CVE-2020-1472、CVE-2020-1464、CVE-2020-1480、CVE-2020-1529、CVE-2020-1566、CVE-2020-1584、CVE-2020-1587、CVE-2020-1578、CVE-2020-1337。
本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大,如下表所示。
|
CVE编号 |
风险等级 |
漏洞名称 |
利用可能 |
|
CVE-2020-1380 |
紧急 |
脚本引擎内存破坏漏洞 |
N/Y/D/NA |
|
CVE-2020-1570 |
紧急 |
脚本引擎内存破坏漏洞 |
N/N/M/M |
|
CVE-2020-1555 |
紧急 |
脚本引擎内存破坏漏洞 |
N/N/L/NA |
|
CVE-2020-1567 |
紧急 |
MSHTML脚本引擎远程代码执行漏洞 |
N/N/M/M |
|
CVE-2020-1483 |
紧急 |
Microsoft Outlook内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1585 |
紧急 |
Microsoft Windows Codecs Library远程代码执行漏洞 |
N/N/NA/L |
|
CVE-2020-1560 |
紧急 |
Microsoft Windows Codecs Library远程代码执行漏洞 |
N/N/L/NA |
|
CVE-2020-1574 |
紧急 |
Microsoft Windows Codecs Library远程代码执行漏洞 |
N/N/L/L |
|
CVE-2020-1379 |
紧急 |
Media Foundation内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1477 |
紧急 |
Media Foundation内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1492 |
紧急 |
Media Foundation内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1525 |
紧急 |
Media Foundation内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1554 |
紧急 |
Media Foundation内存破坏漏洞 |
N/N/L/L |
|
CVE-2020-1568 |
紧急 |
Microsoft Edge PDF远程代码执行漏洞 |
N/N/L/NA |
|
CVE-2020-1046 |
紧急 |
.NET Framework远程代码执行漏洞 |
N/N/L/L |
|
CVE-2020-1472 |
紧急 |
NetLogon权限提升漏洞 |
N/N/L/L |
|
CVE-2020-1464 |
重要 |
Windows欺骗漏洞 |
Y/Y/D/D |
|
CVE-2020-1480 |
重要 |
Windows GDI权限提升漏洞 |
N/N/M/M |
|
CVE-2020-1529 |
重要 |
Windows GDI权限提升漏洞 |
N/N/M/M |
|
CVE-2020-1566 |
重要 |
Windows Kernel权限提升漏洞 |
N/N/M/M |
|
CVE-2020-1584 |
重要 |
Windows dnsrslvr.dll权限提升漏洞 |
N/N/M/M |
|
CVE-2020-1587 |
重要 |
Windows Ancillary Function Driver for WinSock权限提升漏洞 |
N/N/M/M |
|
CVE-2020-1578 |
重要 |
Windows Kernel信息泄露漏洞 |
N/N/M/M |
|
CVE-2020-1337 |
重要 |
Windows 打印机服务权限提升漏洞 |
N/N/L/L |
注:“利用可能”字段包含四个维度(是否公开[Y/N]/是否在野利用[Y/N]/最新版本可利用性[D/M/L/U/NA]/历史版本可利用性[D/M/L/U/NA])
|
简写 |
定义 |
|
Y |
Yes |
|
N |
No |
|
D |
0-Exploitation detected |
|
M |
1-Exploitation more likely * |
|
L |
2-Exploitation less likely ** |
|
U |
3-Exploitation unlikely *** |
|
NA |
4-N/A |
其中,CVE-2020-1464Windows欺骗漏洞已被公开,并且检测到在野利用,CVE-2020-1380 IE脚本引擎内存破坏漏洞也出现在野利用。另外,以下8个漏洞被微软标记为“ExploitationMore Likely”,这代表这些漏洞更容易被利用:
-
CVE-2020-1570
-
CVE-2020-1567
-
CVE-2020-1480
-
CVE-2020-1529
-
CVE-2020-1566
-
CVE-2020-1584
-
CVE-2020-1587
-
CVE-2020-1578
本月,微软共发布121个漏洞的补丁程序,值得注意的是,CVE-2020-1464 Windows欺骗漏洞和CVE-2020-1380 IE脚本引擎内存破坏漏洞已被检测到在野利用。另外,以下8个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2020-1570
-
CVE-2020-1567
-
CVE-2020-1480
-
CVE-2020-1529
-
CVE-2020-1566
-
CVE-2020-1584
-
CVE-2020-1587
-
CVE-2020-1578
奇安信CERT对此进行研判,影响较大的24个漏洞(包括16个紧急漏洞和8个重要漏洞)的详细信息如下:
1、CVE-2020-1380 脚本引擎内存破坏漏洞*
|
漏洞名称 |
脚本引擎内存破坏漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1380 |
|
公开状态 |
未公开 |
在野利用 |
已存在 |
||
|
漏洞描述 |
IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1380 |
|||||
2、CVE-2020-1570 脚本引擎内存破坏漏洞
|
漏洞名称 |
脚本引擎内存破坏漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1570 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1570 |
|||||
3、CVE-2020-1555 脚本引擎内存破坏漏洞
|
漏洞名称 |
脚本引擎内存破坏漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1555 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft Edge 脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1555 |
|||||
4、CVE-2020-1567 MSHTML脚本引擎远程代码执行漏洞
|
漏洞名称 |
MSHTML脚本引擎远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1567 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
MSHTML脚本引擎在验证输入时,存在一个远程代码执行漏洞。攻击者可通过诱导用户编辑特制文件来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1567 |
|||||
5、CVE-2020-1483 Microsoft Outlook内存破坏漏洞
|
漏洞名称 |
Microsoft Outlook内存破坏漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1483 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft Outlook在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过向用户发送带有特制文件的邮件并诱导用户打开或在预览窗口查看该文件来利用此漏洞。攻击者还可通过诱导用户访问带有特制文件的恶意网站或攻击脆弱网站向其添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上使用当前用户安全上下文执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1483 |
|||||
6、Microsoft Windows Codecs Library远程代码执行漏洞
|
漏洞名称 |
Microsoft Windows Codecs Library远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
详见漏洞描述 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft Windows Codecs Library在处理内存中的对象时,存在两个远程代码执行漏洞(CVE-2020-1585、CVE-2020-1560)。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以获取信息从而进一步利用受影响系统。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1585 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1560 |
|||||
CVE-2020-1585漏洞只影响从Microsoft Store安装了可选的HEVC或"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。
7、CVE-2020-1574 Microsoft Windows Codecs Library远程代码执行漏洞
|
漏洞名称 |
Microsoft Windows Codecs Library远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1574 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft Windows Codecs Library在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1574 |
|||||
CVE-2020-1574漏洞只影响从Microsoft Store安装了可选的HEVC或"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。
8、Media Foundation内存破坏漏洞
|
漏洞名称 |
Media Foundation内存破坏漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
详见漏洞描述 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows Media Foundation在处理内存中的对象时,存在五个内存损坏漏洞(CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554)。攻击者可通过诱导用户打开特制文件或诱导用户访问恶意网站来利用此漏洞,成功利用此漏洞的远程攻击者可以获得目标系统的完全用户权限。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1379 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1477 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1492 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1525 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1554 |
|||||
9、CVE-2020-1568 Microsoft Edge PDF远程代码执行漏洞
|
漏洞名称 |
Microsoft Edge PDF远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1568 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft Edge PDF Reader 在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1568 |
|||||
10、CVE-2020-1046 .NET Framework远程代码执行漏洞
|
漏洞名称 |
.NET Framework远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1046 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Microsoft .NET Framework 在处理输入时,存在远程代码执行漏洞。攻击者可通过向Web应用程序上传特制文件来利用此漏洞。成功利用此漏洞的攻击者可接管目标系统。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1046 |
|||||
11、CVE-2020-1472 NetLogon权限提升漏洞
|
漏洞名称 |
NetLogon权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2020-1472 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
NetLogon中存在一个权限提升漏洞。未经身份认证的攻击者可通过使用Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472 https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc |
|||||
微软正在分两个阶段修复这个漏洞,修复方案通过修改NetLogon处理方式和NetLogon安全通道来解决这个漏洞,详情请参阅以下链接。
12、CVE-2020-1464 Windows欺骗漏洞*
|
漏洞名称 |
Windows欺骗漏洞 |
||||
|
漏洞类型 |
欺骗 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1464 |
|
公开状态 |
已公开 |
在野利用 |
已存在 |
||
|
漏洞描述 |
Windows在验证签名时,存在一个欺骗漏洞。成功利用此漏洞的攻击者可绕过安全特性,从而加载签名不正确的文件。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1464 |
|||||
13、Windows GDI权限提升漏洞
|
漏洞名称 |
Windows GDI权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
详见漏洞描述 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows Graphics Device Interface (GDI)在处理内存中的数据时,存在两个权限提升漏洞(CVE-2020-1480、CVE-2020-1529)。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1480 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1529 |
|||||
14、CVE-2020-1566 Windows Kernel权限提升漏洞
|
漏洞名称 |
Windows Kernel权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1566 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows Kernel在处理内存中的数据时,存在一个权限提升漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1566 |
|||||
15、CVE-2020-1584 Windows dnsrslvr.dll权限提升漏洞
|
漏洞名称 |
Windows dnsrslvr.dll权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1584 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows dnsrslvr.dll在处理内存中的数据时,存在一个权限提升漏洞。经过本地认证的攻击者可通过在目标系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1584 |
|||||
16、CVE-2020-1587 Windows Ancillary Function Driver for WinSock权限提升漏洞
|
漏洞名称 |
Windows Ancillary Function Driver for WinSock权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1587 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows Ancillary Function Driver for WinSock在处理内存中的数据时,存在一个权限提升漏洞。攻击者可通过在目标系统上运行特制程序来利用此漏洞,攻击者首先需要获取目标系统的执行权限。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1587 |
|||||
17、CVE-2020-1578 Windows Kernel信息泄露漏洞
|
漏洞名称 |
Windows Kernel信息泄露漏洞 |
||||
|
漏洞类型 |
信息泄露 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1578 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows Kernel存在一个信息泄露漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可获取目标系统内核对象的地址,从而进一步绕过目标系统上的ASLR保护。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1578 |
|||||
18、CVE-2020-1337 Windows打印机服务权限提升漏洞
|
漏洞名称 |
Windows 打印机服务权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2020-1337 |
|
公开状态 |
未公开 |
在野利用 |
不存在 |
||
|
漏洞描述 |
Windows 打印机服务中存在一个权限提升漏洞。该漏洞主要原因在于允许打印机服务写入任意文件到系统,要想成功利用此漏洞需要重启打印机服务。成功利用此漏洞的攻击者可以使用权限提升后的上下文执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1337 |
|||||
该漏洞属于微软五月补丁日CVE-2020-1048修复不完善导致的补丁绕过。
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows8、Windows 8.1、WindowsServer 2012以及Windows Server2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows7、Windows Server 2008、WindowsServer 2008 R2),可参考以下链接下载适用于该系统的8月补丁并安装:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-AUG
奇安信CERT致力于
第一时间为企业级客户提供
安全风险通告和有效的解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论