【更新】微软安全更新解决113个漏洞

周二微软针对2020年4月发布的更新补丁解决了113个漏洞,包括3个野外的Windows漏洞,其中17个漏洞被评为严重,其余的被评为重要,这些漏洞在针对任意代码执行和权限升级攻击中被利用。

 

此次解决的漏洞影响了Windows,Edge,Internet Explorer,Office,Windows Defender,Dynamics,Android和Mac应用程序以及其他产品。同时,Microsoft还修复了Windows版OneDrive应用程序中一个公开披露的特权升级漏洞。根据总结,微软在2020年1月至2020年4月之间解决的CVE数量比去年同期增加了44%

首先,微软更新发布了3月22日临时安全公告的Windows Adobe PostScript字体(Type 1)解析时存在的远程代码执行漏洞补丁,该漏洞对应CVE编号CVE-2020-1020、CVE-2020-0938。微软公司表示,由于最新版本的操作系统包含安全机制,这些漏洞不太可能被用于Windows 10设备。根据公告,微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),基于漏洞的严重性,此次对已经停服的Windows 7也提供了补丁,建议用户尽快安装安全更新补丁或采取临时缓解措施加固系统。

 

微软解决的另一个严重Windows漏洞称为CVE-2020-1027,该漏洞也是由Google报告。根据Microsoft的说法,该漏洞是Windows内核漏洞,而且在野外被黑客积极利用。同时,Google还因举报一个被积极利用的Windows内核漏洞CVE-2020-1027而受到微软的肯定。微软还表示,Windows内核处理内存中存在的这个特权提升漏洞非常危险,成功利用此漏洞的攻击者可以提高权限执行代码,运行特制应用程序。

 

同时,微软解决的另一个在野外攻击中被利用的漏洞是Internet Explorer中的远程代码问题,跟踪为CVE-2020-0968。该漏洞让攻击者可以通过在用户的系统中执行任意代码的方式来破坏内存,成功利用此漏洞的攻击者可以获得与用户相同的权限。而且,如果用户使用管理用户权限登录,攻击者则可以完全控制受影响的系统。

通过此次漏洞修补,微软已经获悉利用这一0day漏洞的有针对性攻击,目前漏洞细节和利用代码已经公开,建议及时测试安全更新补丁并应用安装,或采取临时缓解措施加固系统。