當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

自检代码中trustmanager漏洞_2020-11微软漏洞通告

發(fā)布時(shí)間：2024/1/23 编程问答 37 豆豆

生活随笔收集整理的這篇文章主要介紹了自检代码中trustmanager漏洞_2020-11微软漏洞通告小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

微軟官方發(fā)布了11月的安全更新。本月更新公布了112個(gè)漏洞，包含35個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，37個(gè)特權(quán)提升漏洞，19個(gè)信息泄露漏洞以及10個(gè)身份假冒漏洞，其中17個(gè)漏洞級別為“Critical”(高危)，93個(gè)為“Important”(重要)。

建議用戶及時(shí)使用火絨安全軟件(個(gè)人/企業(yè))【漏洞修復(fù)】功能更新補(bǔ)丁。

涉及組件：

Microsoft Windows

Microsoft Office and Microsoft Office Services and Web Apps

Internet Explorer

Microsoft Edge (EdgeHTML-based)

Microsoft Edge (Chromium-based)

ChakraCore

Microsoft Exchange Server

Microsoft Dynamics

Microsoft Windows Codecs Library

Azure Sphere

Windows Defender

Microsoft Teams

Azure SDK

Azure DevOps

Visual Studio

以下漏洞需特別注意：

Windows網(wǎng)絡(luò)文件系統(tǒng)遠(yuǎn)程執(zhí)行代碼漏洞 CVE-2020-17051

嚴(yán)重級別：Critical(高危)CVSS：9.8 被利用級別：很有可能被利用

NFS驅(qū)動(dòng)程序nfssvr.sys中的堆溢出漏洞，可被遠(yuǎn)程觸發(fā)并利用。攻擊者可通過構(gòu)造特定的數(shù)據(jù)，造成緩沖區(qū)溢出，以達(dá)到執(zhí)行任意代碼的目的。未授權(quán)的攻擊者可利用該漏洞進(jìn)行遠(yuǎn)程攻擊。

Windows網(wǎng)絡(luò)文件系統(tǒng)信息泄露漏洞 CVE-2020-17056

嚴(yán)重級別：Important(重要) CVSS：5.5 被利用級別：很有可能被利用

NFS驅(qū)動(dòng)程序nfssvr.sys中的越界讀取漏洞，該漏洞可能會(huì)導(dǎo)致被攻擊者利用在拒絕服務(wù)式攻擊(BSOD)上，但此漏洞更有價(jià)值的用途是用來造成信息泄漏，或與CVE-2020-17051共同使用，以達(dá)到更穩(wěn)定的遠(yuǎn)程代碼執(zhí)行。

注意：CVE-2020-17051 和 CVE-2020-17056兩個(gè)漏洞均與網(wǎng)絡(luò)文件系統(tǒng) (NFS)相關(guān)，沒有安裝此服務(wù)的系統(tǒng)不受漏洞影響。(Windows默認(rèn)不安裝NFS功能)

用戶可以通過“控制面板”->“程序和功能”->“啟用或關(guān)閉Windows功能”中查看是否安裝了“NFS服務(wù)”如下圖：

以Windows10為例:

Windows內(nèi)核本地特權(quán)提升漏洞 CVE-2020-17087

嚴(yán)重級別：Important(重要) CVSS：7.8 被利用級別：檢測到利用

Windows內(nèi)核加密驅(qū)動(dòng)cng.sys中基于池的緩沖區(qū)溢出漏洞，攻擊者可利用此漏洞達(dá)到本地提權(quán)或沙箱逃逸的目的。該漏洞可與Chrome漏洞CVE-2020-15999(Chrome 86.0.4240.111版本已修復(fù))共同使用，以實(shí)現(xiàn)瀏覽器內(nèi)的惡意代碼執(zhí)行。目前該漏洞驗(yàn)證代碼(PoC)已公開，并發(fā)現(xiàn)在野利用。

其他重要漏洞：

CVE-2020-17042

Windows Print Spooler遠(yuǎn)程執(zhí)行代碼漏

洞嚴(yán)重級別：Critical(高危)CVSS：8.8 被利用級別：有可能被利用

CVE-2020-17084

Microsoft Exchange Server遠(yuǎn)程執(zhí)行代碼漏洞

洞嚴(yán)重級別：Important(重要)CVSS：8.5 被利用級別：有可能被利用

CVE-2020-16970

Azure Sphere未簽名代碼執(zhí)行漏洞

洞嚴(yán)重級別：Important(重要)CVSS：8.1 被利用級別：有可能被利用

修復(fù)建議：

1、通過火絨個(gè)人版/企業(yè)版【漏洞修復(fù)】功能修復(fù)漏洞。

2、下載微軟官方提供的補(bǔ)丁

總結(jié)

以上是生活随笔為你收集整理的自检代码中trustmanager漏洞_2020-11微软漏洞通告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： wps分析工具库如何加载_关键词数据分析
下一篇： ai快捷键常用表_遇到这些办公软件快捷键