微软在8月的Patch Tuesday修补了120个安全漏洞,其中有17个被列为重大(Critical)漏洞,还出现了两个已遭黑客开采的零时差漏洞CVE-2020-1380与CVE-2020-1464。此外,从今年1到8月,微软总计修补了862个安全漏洞,已经超越2019年全年的851个。
此次微软所修补的安全漏洞涉及Windows、Edge、IE、ChakraCore、Microsoft Scripting Engine、SQL Server、.NET Framework、ASP.NET Core、Office、Windows Codecs Library与Microsoft Dynamics。
在已被开采的零时差漏洞中,被列为重大等级的CVE-2020-1380,是个脚本引擎内存损毁漏洞,会在脚本引擎处理IE内存中的对象时被触发,进而破坏内存并允许黑客以现有用户的权限执行任意程序。该漏洞有许多开采途径,包括托管一个恶意网站并诱导用户访问,或是在应用程序中嵌入一个标注为可安全初始化的ActiveX控制器,还是在合法网站上植入恶意内容或广告,都能危害用户系统。该漏洞波及所有平台上的IE 11。
CVE-2020-1464则是个Windows欺骗漏洞,会在Windows不适当地验证文件签章时被触发,成功开采将可绕过安全功能并加载未正确签章的文件,波及Windows 7、Windows 8、Windows 10与Windows Server等平台,仅被列为重要(Important)等级。
其它受到瞩目的安全漏洞还有CVE-2020-1472,黑客可借由Netlogon远程协议(Netlogon Remote Protocol)来创建一个连接到域名控制器的安全信道,成功开采将可在该域名的设备上执行特定的应用,虽然它只是个权限扩张漏洞,而非远程程序执行漏洞,但却被微软归类为重大漏洞。
值得注意的是,微软计划分两阶段来修补CVE-2020-1472,本周发布的是第一阶段的修补,下一阶段的修补则会在明年第一季出炉。
安全研究人员也奉劝用户应优先修补CVE-2020-1046,这是.NET框架的远程程序攻击漏洞,起因为该框架处理输入不当,黑客必须上传特定文件到一个Web应用上,成功的开采将允许黑客接管系统,影响.NET Framework 2.0到.NET Framework 4.8。