服務(wù)公告

全部公告 > 安全公告 > 微軟6月份月度安全漏洞預(yù)警

微軟6月份月度安全漏洞預(yù)警

2020-06-10

一、概要

近日，微軟發(fā)布6月份安全補(bǔ)丁更新，共披露了129個(gè)安全漏洞，其中11個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，權(quán)限提升和欺騙攻擊等。受影響的應(yīng)用包括：Microsoft Windows、Internet Explorer（IE）、Microsoft Edge、Office等組件。

微軟官方說(shuō)明：

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jun

本次微軟披露的SMB漏洞請(qǐng)用戶關(guān)注，

1、CVE-2020-1206：SMBv3客戶端/服務(wù)器信息泄露漏洞，該漏洞可以與先前披露的SMBGhost (CVE-2020-0796) 漏洞結(jié)合使用，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。

2、CVE-2020-1301：SMBv1遠(yuǎn)程代碼執(zhí)行的漏洞，經(jīng)過(guò)身份驗(yàn)證的攻擊者可通過(guò)向目標(biāo)SMBv1服務(wù)器發(fā)特制數(shù)據(jù)包來(lái)利用此漏洞，可在目標(biāo)系統(tǒng)上以該用戶權(quán)限執(zhí)行任意代碼。

3、CVE-2020-1284：SMB拒絕服務(wù)漏洞，攻擊者可通過(guò)向目標(biāo)SMB服務(wù)器發(fā)特制請(qǐng)求包來(lái)利用此漏洞，成功利用此漏洞可導(dǎo)致目標(biāo)系統(tǒng)拒絕服務(wù)。

6月19日，華為云關(guān)注到業(yè)界披露了SharePoint 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-1181)的利用細(xì)節(jié)，漏洞影響Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2010 Service Pack 2、Microsoft SharePoint Foundation 2013 Service Pack 1、Microsoft SharePoint Server 2019。微軟已在6月份的例行補(bǔ)丁中修復(fù)了該漏洞，華為云提醒使用SharePoint用戶及時(shí)安排自檢并做好安全加固。

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說(shuō)明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

Microsoft Windows、Microsoft Edge、Office等產(chǎn)品。

四、重要漏洞說(shuō)明詳情

CVE編號(hào)	漏洞名稱	嚴(yán)重程度	漏洞描述
CVE-2020-1213 CVE-2020-1216 CVE-2020-1260	VBScript遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	VBScript引擎處理內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。
CVE-2020-1299	LNK遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Microsoft Windows中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞，如果處理了.LNK文件，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權(quán)限。
CVE-2020-1286	Windows Shell遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Windows Shell無(wú)法正確驗(yàn)證文件路徑時(shí)，存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。
CVE-2020-1281	Windows OLE遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)Microsoft Windows OLE無(wú)法正確驗(yàn)證用戶輸入時(shí)，存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。攻擊者可能利用此漏洞執(zhí)行惡意代碼。
CVE-2020-1300	Windows遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)Microsoft Windows無(wú)法正確處理Cabinet文件時(shí)，存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。
CVE-2020-1248	GDI +遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	Windows圖形設(shè)備接口（GDI）處理內(nèi)存中的對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。
CVE-2020-1181	Microsoft SharePoint Server遠(yuǎn)程執(zhí)行代碼漏洞	嚴(yán)重	當(dāng)Microsoft SharePoint Server無(wú)法正確識(shí)別和過(guò)濾不安全的ASP.Net Web控件時(shí)，將存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的經(jīng)過(guò)身份驗(yàn)證的攻擊者可以使用特制頁(yè)面在SharePoint應(yīng)用程序池過(guò)程的安全上下文中執(zhí)行操作。
CVE-2020-1219	Microsoft瀏覽器內(nèi)存損壞漏洞	嚴(yán)重	Microsoft瀏覽器訪問(wèn)內(nèi)存中對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種允許攻擊者在當(dāng)前用戶的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。
CVE-2020-1073	腳本引擎內(nèi)存損壞漏洞	嚴(yán)重	ChakraCore腳本引擎處理內(nèi)存中的對(duì)象的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。

（注：以上為嚴(yán)重漏洞，其他漏洞及詳情請(qǐng)參見(jiàn)微軟官方說(shuō)明）

五、安全建議

1、可通過(guò)Windows Update自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動(dòng)下載補(bǔ)丁，補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。

五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

服務(wù)公告

微軟6月份月度安全漏洞預(yù)警

2020-06-10