微軟發表四月Patch Tuesday資安修補包,共修復 113 個資安漏洞.png

微軟推出四月分的「Patch Tuesday」資安漏洞修補包,一共修復多達 113 個資安漏洞,其中有 3 個 0-day 漏洞、15 個嚴重漏洞。

微軟於日前推出 2020 年四月分的「Patch Tuesday」資安漏洞修補包。這個月的修補包一共修復多達 113 個資安漏洞;其中有 3 個是 0-day 漏洞、15 個嚴重漏洞、93 個重要等級漏洞、3 個一般等級漏洞、2 個低危險等級漏洞。

在最危險的 3 個 0-day 漏洞中,其中有兩個已經公開,分別是 CVE-2020-0935、CVE-2020-1020;前者問題出在 One Drive for Windows,駭侵者可透過此漏洞提升執行權限,後者則是出自 Adobe 字體管理程式庫,可讓駭侵者遠端執行任意程式碼。

另外,在這三個 0-day 漏洞中,也有兩個 0-day 漏洞已被駭侵者用以進行攻擊活動,分別是 CVE-2020-0938、CVE-2020-1020,兩者都是出自 Adobe 字體管理程式庫,可讓駭侵者遠端執行任意程式碼。


其他被標示為嚴重等級且於此次獲得修補的漏洞,部分摘錄如下:

  • CVE-2020-1022:Dynamic Business Central,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0687:Microsoft Graphics,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0907:Microsoft Graphics Components,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0931:Microsoft SharePoint,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0927:MIcrosoft SharePoint,可讓駭侵者進行 XSS 攻擊。
  • CVE-2020-0932:Microsoft SharePoint,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0929:Microsoft SharePoint,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0974:Microsoft SharePoint,可讓駭侵者遠端執行任意程式碼。
  • CVE-2020-0969:Chakra Scripting Engine,記憶體崩潰漏洞。
  • CVE-2020-0970:Scripting Engine 記憶體崩潰漏洞。
  • CVE-2020-0965:Microsoft Windows Codecs Library,可讓駭侵者遠端執行任意程式碼。

建議所有微軟產品用戶,應盡速安裝本月的資安修補包,以避免遭駭。

 


▼參考連結▼

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr

https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2020-patch-tuesday-fixes-3-zero-days-15-critical-flaws/

https://threatpost.com/april-patch-tuesday-microsoft-active-exploit/154794/


更多【資安事件及新聞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html

    twcert 發表在 痞客邦 留言(0) 人氣()