【漏洞预警】CNNVD关于微软多个安全漏洞的通报

发布时间:2020-12-10   

       近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Exchange Server 安全漏洞(CNNVD-202012-615、CVE-2020-17117)、Microsoft SharePoint 安全漏洞(CNNVD-202012-620、CVE-2020-17118)、Microsoft Excel 安全漏洞(CNNVD-202012-616、CVE-2020-17122)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、 漏洞介绍

       2020年12月9日,微软发布了2020年12月份安全更新,共58个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了 Windows操作系统、ChakraCore、Office办公套件、Exchange Server、Azure、Visual Studio等多个Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,其中部分重要漏洞详情如下:

1、Microsoft Exchange Server 安全漏洞(CNNVD-202012-615、CVE-2020-17132)(CNNVD-202012-615、CVE-2020-17117)(CNNVD-202012-606、CVE-2020-17142)

       漏洞简介:由于Exchange对cmdlet参数的验证不正确,会触发一个Microsoft Exchange服务器中的远程代码执行漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。

2、Microsoft SharePoint 安全漏洞(CNNVD-202012-620、CVE-2020-17118)(CNNVD-202012-617、CVE-2020-17121)

       漏洞简介:SharePoint中存在一个安全漏洞。经过身份验证的攻击者通过发送特制请求包,可在SharePoint Web应用中执行任意.NET代码。

3、Microsoft Excel 安全漏洞(CNNVD-202012-616、CVE-2020-17122)(CNNVD-202012-584、CVE-2020-17127)(CNNVD-202012-586、CVE-2020-17129)

       漏洞简介:Microsoft Excel中存在安全漏洞。当 Microsoft Excel 软件无法正确处理内存中的对象时,该软件中存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。

4、Microsoft PowerPoint 安全漏洞(CNNVD-202012-592、CVE-2020-17124)

       漏洞简介:由于Microsoft SharePoint对用户输入验证不足,攻击者可以输入一些精心构造的数据,造成内存破坏,从而导致远程代码执行。

5、Microsoft Windows Hyper-V 安全漏洞(CNNVD-202012-687、CVE-2020-17095)

       漏洞简介:Microsoft Windows Hyper-V中存在安全漏洞。当主机服务器上的 Windows Hyper-V 无法正确验证来宾操作系统上经身份验证的用户的输入时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在主机操作系统上执行任意代码。

6、Microsoft Edge 安全漏洞(CNNVD-202012-583、CVE-2020-17131)

       漏洞简介:Microsoft Edge存在一个安全漏洞,攻击者可利用该漏洞可以远程执行恶意代码。

       由于此次更新,微软并没有透露太多漏洞详情,请用户自行到官方网站查询,官方地址:

       https://msrc.microsoft.com/update-guide/en-us

二、修复建议

       目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

       https://msrc.microsoft.com/update-guide/en-us

       CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

       联系方式: cnnvd@itsec.gov.cn




漏洞预警快速查询

热点漏洞

更多