台灣電腦網路危機處理暨協調中心-TWCERT/CC

微軟推出 2020 年 5 月資安修補包，共有 111 個資安漏洞得到修復。用戶請盡速更新。

微軟公司每月固定的推出「Patch Tuesday」逐月資安修補包的 2020 年 5 月版本於日前釋出，一共修補多達 111 個資安漏洞；其中包括 16 個嚴重等級漏洞，另有 96 個重要等級，都可在這次的修補包中解決。

值得注意的是，這個月的資安修補包修復的漏洞，沒有任何一個已經被駭侵團體用以進行各種規模的攻擊；也就是說都是屬於未被公開的漏洞。

在這些得到修復的漏洞中，絕大多數「重要」等級的漏洞，多半是屬於「權限提升」類型，數量達 56 個；主要都存於 Microsoft Windows 作業系統中各種子系統的元件。如果用戶的 Windows 電腦遭到駭侵者駭入，這些漏洞即有可能被用來提升駭侵者的操作權限，造成更大的損害。

至於其他被列為「嚴重」等級的資安漏洞，其中有兩個存於 Microsoft Color Management 色彩管理子系統中，CVE 編號為 CVE-2020-1117；另一個存於 Windows Media Foundation 子系統中，編號為 CVE-2020-1126；駭侵者可透過社交工程等方式駭入系統後，直接利用這兩個漏洞執行各種系統操作，包括刪改檔案、竊取資料或增刪用戶帳號等。

另外，SharePoint 有兩個 RCE（遠端執行任意程式碼）的漏洞，也在這次得以修補，其 CVE 編號分別為 CVE-2020-1023 與 CVE-2020-1102；這兩個漏洞可讓駭侵者任意執行任何程式，潛在為害甚大。

微軟各種產品的用戶，應盡速透過這個資安修補包進行更新，以獲得更全面的保護。
 

• 參考連結：
  • https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-May
  • https://threatpost.com/microsoft-111-bugs-may-patch-tuesday/155669/
• 更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news