Microsoft修补了120个漏洞,2个0day

​作为周二发布的每月补丁的一部分,微软今天发布了13个产品和服务中120个漏洞的修复程序,其中包括两个0Day。
8月份发布的补丁是周二发布的第三大补丁,紧随着2020年7月的第二大补丁(123个补丁)和2020年6月的最大补丁(129个补丁)。这也使得2020年的安全修复总数达到862–比微软在2019年发布的多11个。

“如果他们保持这样的速度,他们很有可能在今年发布超过1300个补丁,”Trend Micro零日计划(ZDI)的Dustin Childs说这一数量以及困难的服务场景给补丁管理团队带来了额外的压力。”
本月发布的CVE包括Microsoft Windows、Edge(基于EdgeHTML和Chromium)、ChakraCore、Internet Explorer、Microsoft脚本引擎、SQL Server、.NET Framework,ASP.NET核心、Office和Office服务和Web应用程序、Windows编解码器库和Microsoft Dynamics。在这些漏洞中,17个为严重漏洞,103个为重要漏洞。在发布这些修复程序时,有两个受到了积极的攻击,其中一个是公开的。

0day事件之一是Internet Explorer中的脚本引擎内存损坏漏洞。CVE-2020-1380是一个关键的远程代码执行缺陷,存在于脚本引擎处理IE内存中的对象的方式中。如果利用此漏洞,攻击者可以获得与当前用户相同的权限:如果用户以管理员身份登录,攻击者可以接管受影响的系统;安装程序;查看、编辑,或删除数据;或创建具有完全用户权限的新帐户。

在基于web的攻击中,攻击者可以托管一个旨在利用该漏洞并说服目标查看该漏洞的网站。他们可以将标记为“初始化安全”的ActiveX控件嵌入到托管IE渲染引擎的应用程序或Office文件中。攻击者还可以滥用已经受损的网站,或接受或托管用户提供的内容或广告的网站,利用该漏洞进行攻击。

这个缺陷是由卡巴斯基实验室的鲍里斯·拉里发现的。“目前还不知道攻击的范围有多大,但考虑到卡巴斯基报告了这个漏洞,可以合理地假设其中涉及恶意软件,”Childs说如果您仍在使用IE,请将此项作为您的首要任务。”

另一个受到主动攻击的bug也是众所周知的:Windows欺骗漏洞CVE-2020-1464。当Windows错误地验证文件签名时,就会存在一个漏洞;成功利用此漏洞的攻击者可以使用附加到恶意可执行文件的伪造签名来加载任何文件,并诱使操作系统认为它是合法的。这会影响所有受支持的Windows版本,因此建议企业尽快应用补丁。

“CVE-2020-1464证明,安全组织不应该仅仅根据CVSS评分和严重性等级来决定修补方案,而是应该将所有安全漏洞作为攻击面上的一个缺口来处理,欢迎任何恶意玩家进入他们的网络,”Richard Melick说,Automox高级技术产品经理。

微软8月11日也修补了WindowsMediaFoundation(WMF)中的关键内存损坏缺陷:CVE-2020-1525、CVE-2020-1379、CVE-2020-1477、CVE-2020-1492和CVE-2020-1554。所有这些都是WMF处理内存中对象的方式中存在的远程代码执行漏洞。利用这些漏洞的攻击者可以安装恶意软件、操纵数据或创建新帐户。为此,攻击者可以说服某人打开恶意文件或访问恶意网站。Windows 7到Windows 10以及Windows Server 2008到2019都会受到影响。

研究人员还指出,CVE-2020-1472是修补的优先事项。这是一个权限提升漏洞,攻击者使用Netlogon远程协议(MS-NRPC)与易受攻击的Netlogon安全通道连接建立到域控制器的连接时存在。如果成功,他们可以在网络上的目标设备上运行自己的应用程序。攻击者必须使用MS-NRPC连接到域控制器才能获得管理员访问权限。

目前还没有一个完整的修复方案,微软计划分两部分发布一个补丁。今天的修复使域控制器能够保护设备,而定于2021年发布的第二个修补程序将使用Netlogon强制执行安全远程过程调用,以完全修补该缺陷。

本月还对CVE-2020-1337进行了修复,该漏洞是Windows后台打印程序服务中的一个特权提升漏洞,该漏洞被Stuxnet蠕虫病毒中的一个单独的漏洞所攻击。成功利用此特定缺陷的攻击者可以使用提升的系统权限运行任意代码并安装程序;查看、编辑或删除数据;或创建具有完全用户权限的新帐户。

该修补程序是CVE-2020-1048的一个修补程序,CVE-2020-1048是一个单独的Windows后台打印程序错误,于2020年5月修补。研究人员发现,这种本地权限提升漏洞仍然可以被利用。

免责申明:本文由互联网整理翻译而来,仅供个人学习参考,如有侵权,请联系我们,告知删除。

你可能感兴趣的:(Microsoft修补了120个漏洞,2个0day)