发布时间:2020-12-11 13:27:38,来源:北京天融信、绿盟科技、中国信通院
12月9日,微软官方发布了12月份安全更新通告,更新修复了58个漏洞。此次更新主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、Office办公软件、Exchange Server、Azure、Visual Studio等多款产品。对此,建议广大用户及时下载并安装修复补丁进行防护。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞详情
根据漏洞的重要性和产品关注度筛选出此次更新中包含影响较大的漏洞,请相关用户重点进行关注:
1)Microsoft Exchange远程代码执行漏洞(CVE-2020-17132):
由于Exchange对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程代码执行漏洞。
成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。
2)Microsof SharePoint远程代码执行漏洞(CVE-2020-17121)
经过身份验证的攻击者通过发送特制请求包,可在SharePoint Web应用中执行任意.NET代码。
3)Hyper-V远程代码执行漏洞(CVE-2020-17095)
Hyper-V中存在一处远程代码执行漏洞,该漏洞可造成虚拟环境逃逸。
远程攻击通过在Hyper-V虚拟环境中运行特制的二进制程序与宿主使用vSMB通信,可造成在宿主系统中执行任意代码。
三、影响范围
CVE编号 | 受影响版本 |
CVE-2020-17132 | Microsoft Exchange Server 2016 Cumulative Update 18 Microsoft Exchange Server 2019 Cumulative Update 7 Microsoft Exchange Server 2016 Cumulative Update 17 Microsoft Exchange Server 2019 Cumulative Update 6 Microsoft Exchange Server 2013 Cumulative Update 23 |
CVE-2020-17121 | Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Server 2019 Microsoft SharePoint Foundation 2010 Service Pack 2 Microsoft SharePoint Foundation 2013 Service Pack 1 |
CVE-2020-17095 | Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows Server, version 2004 (Server Core installation) Windows 10 Version 2004 for x64-based Systems Windows Server, version 1903 (Server Core installation) Windows 10 Version 1903 for x64-based Systems Windows Server, version 1909 (Server Core installation) Windows 10 Version 1909 for x64-based Systems Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1803 for x64-based Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for x64-based Systems |
四、处置建议
微软官方已更新受影响软件的安全补丁,用户可根据不同版本系统下载安装对应的安全补丁,安全更新链接如下:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-17132
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-17121
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2020-17095
五、参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec