微软9月Patch Tuesday修补129个安全漏洞,23个被列为重大等级

微软于本周二(9/8)发布9月的安全更新,总计修补了129个安全漏洞,其中有23个被列为重大(Critical)等级,趋势科技旗下的Zero-Day Initiative(ZDI)则将CVE-2020-16875视为此次微软所修补的最严重漏洞。

此次安全更新涉及了15项微软产品,从Windows、Dynamics 365、Microsoft Edge、Microsoft Exchange、SharePoint到ASP.NET等,但并未有任何漏洞已被公开或开采。

遭ZDI点名的CVE-2020-16875漏洞,藏匿在Microsoft Exchange服务器上,源自于它没能正确验证cmdlet参数。黑客只要发送一个特定的邮件就能开采该漏洞,成功的开采将允许黑客以系统权限自远程执行任意程序。由于之前类似的CVE-2020-0688漏洞很快就成为黑客的攻击目标,在有了前车之鉴之后,ZDI建议企业应优先修补CVE-2020-16875。

不过,其实还有2个漏洞的CVSSv3的风险等级达到9.90,高于CVE-2020-16875的9.10,它们是CVE-2020-1210与CVE-2020-1595,皆属于Microsoft SharePoint的远程程序攻击漏洞。

其中,CVE-2020-1210是因Microsoft SharePoint无法检查应用程序组件的来源标记所造成,黑客只要上传一个特定的SharePoint应用程序组件就能开采该漏洞。CVE-2020-1595则是起因于在不安全的资料输入时,APIs无法妥善被保护,黑客只要利用特定格式的输入来访问易受害的API就能开采漏洞。

另一个值得注意的漏洞,是与Microsoft COM for Windows有关的CVE-2020-0922,问题出在于它处理内存中对象的方式,黑客只要诱导用户打开一个恶意文件,或是将用户引跳转至含有恶意JavaScript的网站上就能开采该漏洞,成功的开采也允许黑客执行任意程序。

藏匿在Windows Codecs Library的CVE-2020-1129漏洞,也是因该函数库不当处理内存中对象而产生,黑客只要诱导用户查看一个特定的图片就能开采,并自远程执行任意程序。