微软在本周二的Patch Tuesday修补了129个安全漏洞,创下了微软历年来单月漏洞修补数量的新记录,其中有11个被列为重大(Critical)漏洞。此外,在129个漏洞中,有69个被归类为权限扩张漏洞。6月并未出现任何零时差漏洞。
在11个重大漏洞中,有3个属于VBScript的远程攻击漏洞,它们分别是CVE-2020-1213、CVE-2020-1216与CVE-2020-1260,这3个漏洞都与VBScript引擎处理内存中对象的方式有关,进而允许黑客破坏内存并自远程执行任意程序。
还有一个与LNK有关的重大漏洞为CVE-2020-1299。黑客可在可携式硬盘或远程共享环境中,提供一个恶意的.LNK文件与恶意的二进制档,当用户通过文件总管或其它程序打开该文件时,就会驱动该二进制档。
另一个重大漏洞则与Windows内置的Cabinet压缩文件有关,CVE-2020-1300出现在Windows无法妥善处理Cabinet文件时,黑客可以设计一个特定的Cabinet文件并诱导用户打开,也属远程程序攻击漏洞。
安全企业Sophos则列出了本月最值得注意的漏洞,包括Word的CVE-2020-1321漏洞,出现在Excel的CVE-2020-1225与CVE-2020-1226,Android版Word中的CVE-2020-1223,以及可绕过Windows核心安全功能的CVE-2020-1241漏洞。