> 首頁 > 關于優炫 > 公司動態 > 業界新聞 >

業界新聞

Industry News

關于微軟多個安全漏洞的通告

2020-05-14
近日,微軟官方發布了多個安全漏洞的公告,涵蓋了Microsoft Windows,Edge,ChakraCore,Internet Explorer(IE),Office and Office Services和其他軟件。成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據,提升權限等。微軟多個產品和系統受漏洞影響。在這111個漏洞中,嚴重漏洞有16個,高危漏洞有95。




漏洞介紹

1、Microsoft SharePoint安全漏洞(CNNVD-202005-567、CVE-2020-1024)(CNNVD-202005-565、CVE-2020-1069)(CNNVD-202005-566、CVE-2020-1023)(CNNVD-202005-561、CVE-2020-1102)

漏洞簡介

當軟件無法檢查應用程序包的源標記時,MicrosoftSharePoint會觸發遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以在 SharePoint 應用程序池和 SharePoint 服務器場帳戶的上下文中運行任意代碼。攻擊者必須誘使用戶將經過特殊設計的 SharePoint 應用程序包上傳到受影響版本的 SharePoint,才能利用此漏洞。

2、MicrosoftWindows Graphics Components 安全漏洞(CNNVD-202005-613、CVE-2020-1153)

漏洞簡介

Microsoft 圖形組件在內存中處理對象的方式中存在遠程代碼執行漏洞。成功利用該漏洞的攻擊者可以對目標系統執行任意代碼。若要利用該漏洞,攻擊者需要誘使用戶打開一個特制的文件。

3、MicrosoftWindows和Windows Server 安全漏洞(CNNVD-202005-585、CVE-2020-1166)、(CNNVD-202005-583、CVE-2020-1165)

漏洞簡介

當 Windows 不正確地處理對剪貼板服務的調用時,存在特權提升漏洞。成功利用此漏洞的攻擊者可以在本地系統的安全上下文中運行任意代碼。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。

4、Microsoft Edge PDF Reader 安全漏洞(CNNVD-202005-540、CVE-2020-1096)(CNNVD-202004-694、CVE-2020-0906)

漏洞簡介

當 Microsoft Edge PDF 閱讀器不正確地處理內存中的對象時,存在遠程代碼執行漏洞。該漏洞可能以一種使攻擊者可以在當前用戶的環境中執行任意代碼的方式損壞內存。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理員用戶權限登錄,那么攻擊者便可控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。

5、Microsoft Excel 資源管理錯誤漏洞(CNNVD-202005-555、CVE-2020-0901)

漏洞簡介

當 Microsoft Excel軟件無法正確處理內存中的對象時,會觸發遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以在當前用戶的上下文中運行任意代碼。如果當前用戶使用管理員用戶權限登錄,攻擊者就可以控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。與擁有管理員權限的用戶相比,帳戶被配置為擁有較少權限的用戶受到的影響更小。

6、Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549、CVE-2020-1062)

漏洞簡介

當IE 不正確地訪問內存中的對象時,會觸發遠程代碼執行漏洞。該漏洞可能以一種攻擊者可以在當前用戶的上下文中執行任意代碼的方式損壞內存。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理員用戶權限登錄,那么攻擊者便可控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。

7、Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582、CVE-2020-1174)(CNNVD-202005-581、CVE-2020-1175)(CNNVD-202005-580、CVE-2020-1176)

漏洞簡介

當 Windows Jet 數據庫引擎不正確地處理內存中的對象時,會觸發遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以在受害者系統上執行任意代碼。

8、Microsoft Internet Explorer VBScript Engine 安全漏洞(CNNVD-202005-553、CVE-2020-1035)(CNNVD-202005-550、CVE-2020-1060)(CNNVD-202005-545、CVE-2020-1093)(CNNVD-202005-569、CVE-2020-1058)

漏洞簡介

VBScript 引擎處理內存中對象的方式中存在遠程代碼執行漏洞。該漏洞可能以一種攻擊者可以在當前用戶的上下文中執行任意代碼的方式損壞內存。成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理員用戶權限登錄,攻擊者便可控制受影響的系統。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。

修復建議

目前微軟官方已經發布
補丁修復了上述漏洞
建議用戶及時確認漏洞影響
盡快采取修補措施
150武器幻化赚钱吗 湖南快乐十分走势 分析 上海时时乐开奖现场 福建快3预测推荐号码今天 陕西11选五开奖结果 三个半波中特期期准 怎么开始玩股票 吉林快3走势图表今天 股票行情000913 河北排列7结果 甘肃快3技巧稳赚 吉林11选五开奖规律 富鑫策略 上海福彩时时乐开奖 新手网络赚钱项目 河北20选5走试图 私募基金配资比例