首页学校概况机构设置教育教学招生就业师资队伍科学研究快速通道特色发展
新闻资讯
通知公告 您的当前位置: 首页 > 通知公告 > 正文
Microsoft发布2020年6月安全更新
发布时间:2020年06月16日 09:57  |  查看次数:[]

微软发布了2020年6月份的月度例行安全公告,修复了其多款产品存在的128个安全漏洞。受影响的产品包括:Windows 10 2004 & WindowsServer v2004(89个)、Windows 10 1909 & WindowsServer v1909(88个)、Windows 10 1903 & WindowsServer v1903(90个)、Windows 8.1 & Server 2012 R2(36个)、Windows RT 8.1(36个)、Windows Server 2012(35个)、Microsoft Edge (EdgeHTML-based)(4个)、Internet Explorer(8个)和Microsoft SharePoint-relatedsoftware(15个)。

利用上述漏洞,攻击者可以绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或进行拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。产品及漏洞详情如下:

CVE编号

公告标题和摘要

最高严重等级和漏洞影响

受影响的软件

CVE-2020-1301      

Windows   SMB远程代码执行漏洞

Microsoft   Server Message Block 1.0 (SMBv1)服务器处理某些请求时存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在目标服务器上执行代码。要利用此漏洞,在大多数情况下,经过身份验证的攻击者可以向目标SMBv1服务器发送精心编制的数据包。

安全更新通过更正SMBv1如何处理这些精心编制的请求来解决该漏洞。

重要

远程执行代码

Windows   10

Server   2016

Server   2019

Server,   version 1803

Server,   version 1903

Server,   version 1909

Server,   version 2004

Windows   8.1

Server   2012

Server   2012 R2

CVE-2020-1286

Windows   Shell远程代码执行漏洞

Windows Shell未能正确验证文件路径时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户以管理员身份登录,则攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或者使用提升的权限创建新帐户。将帐户配置为在系统上具有较少权限的用户可能比使用管理权限操作的用户受影响较小。

此安全更新通过确保Windows Shell正确验证文件路径来解决此漏洞。

严重

远程执行代码

Windows   10

Server   2019

Server,   version 1803

Server,   version 1909

Server,   version 1903

Server,   version 2004

CVE-2020-1292

OpenSSH   for Windows权限提升漏洞

OpenSSH for Windows未正确限制对配置设置的访问时,存在权限提升漏洞。成功利用此漏洞的攻击者可以用恶意二进制文件替换外壳。要利用此漏洞进行攻击,经过身份验证的攻击者需要在易受攻击的系统上修改OpenSSH for Windows配置。然后,攻击者需要说服用户连接到易受攻击的OpenSSH   for Windows服务器。

此更新通过限制对OpenSSH for Windows配置设置的访问来解决此漏洞。

重要

特权提升

Windows   10

Server   2019

Server,   version 1803

Server,   version 1909

Server,   version 1903

Server,   version 2004

CVE-2020-1248

GDI+远程代码执行漏洞

Windows   Graphics Device Interface (GDI)处理内存对象的方式存在远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。将帐户配置为在系统上拥有较少用户权限的用户可能比使用管理用户权限操作的用户受影响更小。

安全更新通过更正Windows GDI处理内存中对象的方式来解决该漏洞。

严重

远程执行代码

Windows   10

Server,   version 1903

Server,   version 1909

Server,   version 2004  

CVE-2020-1239

Media   Foundation内存破坏漏洞

Windows Media Foundation未能正确处理内存中的对象时,存在内存破坏漏洞。成功利用此漏洞的攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。攻击者可以通过多种方式利用此漏洞,例如说服用户打开精心编制的文档,或说服用户访问恶意网页。

安全更新通过更正Windows Media Foundation如何处理内存中的对象来解决此漏洞。

重要

远程执行代码

Windows   10

Server   2016

Server   2019

Server,   version 1803

Server,   version 1903

Server,   version 1909

Server,   version 2004

Windows   8.1

Server   2012

Server   2012 R2

CVE-2020-1300

Windows远程代码执行漏洞

Microsoft Windows未能正确处理压缩文件时,存在远程代码执行漏洞。要利用此漏洞,攻击者必须说服用户打开精心编制的cabinet文件或欺骗网络打印机,并诱使用户安装伪装为打印机驱动程序的恶意cabinet文件。

此更新通过更正Windows如何处理压缩文件来解决此漏洞。

重要

远程执行代码

Windows   10

Server   2016

Server   2019

Server,   version 1803

Server,   version 1903

Server,   version 1909

Server,   version 2004

Windows   8.1

Server   2012

Server   2012 R2

CVE-2020-1281

Windows   OLE远程代码执行漏洞

Microsoft Windows OLE未能正确验证用户输入时,存在远程代码执行漏洞。攻击者可以利用此漏洞执行恶意代码。要利用此漏洞,攻击者必须说服用户从网页或电子邮件中打开精心编制的文件或程序。更新通过更正Windows OLE如何验证用户输入来解决此漏洞。

严重

远程执行代码

Windows   10

Server   2016

Server   2019

Server,   version 1803

Server,   version 1909

Server,   version 1903

Server,   version 2004

Windows   8.1

Server   2012

Server   2012 R2

CVE-2020-1073

Scripting   Enginel内存破坏漏洞

ChakraCore脚本引擎处理内存对象的方式存在远程代码执行漏洞。该漏洞可能会破坏内存,使得攻击者可以在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

安全更新通过修改ChakraCore脚本引擎如何处理内存中的对象来解决该漏洞。

严重

远程执行代码

Microsoft   Edge(EdgeHTML-based)

ChakraCore

CVE-2020-1260

VBScript远程代码执行漏洞

VBScript引擎处理内存对象的方式存在远程代码执行漏洞。该漏洞可能会破坏内存,使得攻击者可以在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

安全更新通过修改脚本引擎处理内存中对象的方式来解决该漏洞。

严重

远程执行代码

Internet   Explorer 9

Internet   Explorer 11

CVE-2020-1181

Microsoft   SharePoint Server远程代码执行漏洞

Microsoft SharePoint Server未能正确识别和筛选不安全的ASP.Netweb控件时,存在远程代码执行漏洞。成功利用此漏洞的经过身份验证的攻击者可以使用精心编制的页面在SharePoint应用程序池进程的安全上下文中执行操作。要利用此漏洞,经过身份验证的用户必须在受影响的Microsoft SharePoint Server版本上创建并调用构建的页面。

安全更新通过更正Microsoft SharePoint   Server处理已创建内容的方式来解决此漏洞。

严重

远程执行代码

SharePoint   Enterprise Server 2016

SharePoint   Server 2019

SharePoint   Foundation 2010

SharePoint   Foundation 2013

 

上一条:关于组织我校2020届毕业生参加第七届大中城市联合招聘高校毕业生“张掖”现场招聘会的通知 下一条:国际十大娱乐正规网址微藻中心科研设备采购项目公开招标公告

关闭

版权所有 国际十大娱乐正规网址 - 国际十大娱乐正规平台 陇ICP备16002441号-1  甘公网安备  62070202000460 通讯地址:甘肃省张掖市甘州区北环路846号 邮编:734000
网站维护:国际十大娱乐正规网址宣传部 国际十大娱乐正规网址信息化建设管理服务中心
联系电话:0936-8282007 管理员邮箱:xwzx@hxu.edu.cn