CVE編號(hào) | 公告標(biāo)題和摘要 | 最高嚴(yán)重等級(jí)和漏洞影響 | 受影響的軟件 |
CVE-2020-1126 | Media Foundation內(nèi)存破壞漏洞 當(dāng)Windows Media Foundation未能正確處理內(nèi)存中的對(duì)象時(shí)���,存在內(nèi)存破壞漏洞。成功利用此漏洞的攻擊者可以安裝程序��;查看�����、更改或刪除數(shù)據(jù)��;或創(chuàng)建具有完全用戶權(quán)限的新帳戶�����。 攻擊者有多種方法可以利用此漏洞進(jìn)行攻擊��,例如說(shuō)服用戶打開(kāi)精心編制的文檔����,或說(shuō)服用戶訪問(wèn)惡意網(wǎng)頁(yè)����。 安全更新通過(guò)更正Windows Media Foundation如何處理內(nèi)存中的對(duì)象來(lái)解決此漏洞����。 | 嚴(yán)重 遠(yuǎn)程執(zhí)行代碼 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 |
CVE-2020-1118 | Microsoft Windows Transport Layer拒絕服務(wù)漏洞 當(dāng)傳輸層安全(TLS)的Windows實(shí)現(xiàn)未能正確地處理某些密鑰交換時(shí),存在拒絕服務(wù)漏洞�。成功利用此漏洞的攻擊者可導(dǎo)致目標(biāo)系統(tǒng)停止響應(yīng)。 要利用此漏洞�����,未經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者可以使用TLS 1.2或更低版本向目標(biāo)系統(tǒng)發(fā)送精心編制的請(qǐng)求��,從而觸發(fā)系統(tǒng)自動(dòng)重新啟動(dòng)�����。 更新通過(guò)更改驗(yàn)證TLS密鑰交換消息的方式來(lái)解決該漏洞���。 | 重要 拒絕服務(wù) | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2019 |
CVE-2020-1153 | Microsoft Graphics組件遠(yuǎn)程代碼執(zhí)行漏洞 Microsoft Graphics組件處理內(nèi)存中對(duì)象的方式存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼�。 要利用此漏洞,用戶必須打開(kāi)精心編制的文件����。 安全更新通過(guò)更正Microsoft圖形組件如何處理內(nèi)存中的對(duì)象來(lái)解決此漏洞��。 | 嚴(yán)重 遠(yuǎn)程執(zhí)行代碼 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-1112 | Windows Background Intelligent Transfer Service權(quán)限提升漏洞 當(dāng)Windows Background Intelligent Transfer Service (BITS) IIS模塊未能正確地處理上傳的內(nèi)容時(shí)�����,存在權(quán)限提升漏洞��。成功利用此漏洞的攻擊者可以將受限制的文件類型上載到以IIS為主機(jī)的文件夾�����。 要利用此漏洞����,攻擊者將需要通過(guò)BITS上載文件的權(quán)限��。然后���,攻擊者可以提交構(gòu)建的文件上傳請(qǐng)求����。 安全更新通過(guò)更正Windows BITS如何驗(yàn)證文件名來(lái)解決該漏洞�����。 | 重要 特權(quán)提升 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-1174 | Jet Database Engine遠(yuǎn)程代碼執(zhí)行漏洞 當(dāng)Windows Jet數(shù)據(jù)庫(kù)引擎未能正確地處理內(nèi)存中的對(duì)象時(shí),存在遠(yuǎn)程代碼執(zhí)行漏洞�。成功利用此漏洞的攻擊者可以在受攻擊系統(tǒng)上執(zhí)行任意代碼。 攻擊者可以通過(guò)誘使受害者打開(kāi)精心編制的文件來(lái)利用此漏洞進(jìn)行攻擊�����。 更新通過(guò)更正Windows Jet數(shù)據(jù)庫(kù)引擎處理內(nèi)存中對(duì)象的方式來(lái)解決該漏洞���。 | 重要 遠(yuǎn)程執(zhí)行代碼 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-1037 | Chakra Scripting Engine內(nèi)存破壞漏洞 Chakra腳本引擎處理Microsoft Edge (HTML-based)內(nèi)存中對(duì)象的方式存在遠(yuǎn)程代碼執(zhí)行漏洞����。該漏洞可能會(huì)破壞內(nèi)存���,使得攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼�����。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限��。如果當(dāng)前用戶使用管理用戶權(quán)限登錄���,則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后����,攻擊者可以安裝程序;查看��、更改或刪除數(shù)據(jù)����;或創(chuàng)建具有完全用戶權(quán)限的新帳戶。 在基于web的攻擊場(chǎng)景中����,攻擊者可以托管精心編制的網(wǎng)站,該網(wǎng)站旨在通過(guò)Microsoft Edge (HTML-based)利用該漏洞�,然后說(shuō)服用戶查看該網(wǎng)站。攻擊者還可以利用受攻擊的網(wǎng)站以及接受或承載用戶提供的內(nèi)容或廣告的網(wǎng)站����。這些網(wǎng)站可能包含精心編制的可利用此漏洞的內(nèi)容。 安全更新通過(guò)修改Chakra腳本引擎如何處理內(nèi)存中的對(duì)象來(lái)解決該漏洞����。 | 嚴(yán)重 遠(yuǎn)程執(zhí)行代碼 | Edge (EdgeHTML-based) ChakraCore |
CVE-2020-1062 | Internet Explorer內(nèi)存破壞漏洞 當(dāng)Internet Explorer未能正確訪問(wèn)內(nèi)存中的對(duì)象時(shí),存在遠(yuǎn)程代碼執(zhí)行漏洞�。該漏洞可能會(huì)破壞內(nèi)存�����,使得攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼���。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄���,則攻擊者可以控制受影響的系統(tǒng)���。然后,攻擊者可以安裝程序���;查看�����、更改或刪除數(shù)據(jù)�;或創(chuàng)建具有完全用戶權(quán)限的新帳戶���。 安全更新通過(guò)修改Internet Explorer處理內(nèi)存中對(duì)象的方式來(lái)解決該漏洞����。 | 嚴(yán)重 遠(yuǎn)程執(zhí)行代碼 | Internet Explorer 9 Internet Explorer 11 |
CVE-2020-0901 | Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞 當(dāng)軟件未能正確處理內(nèi)存中的對(duì)象時(shí),Microsoft Excel軟件中存在遠(yuǎn)程代碼執(zhí)行漏洞�。成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。如果當(dāng)前用戶使用管理用戶權(quán)限登錄�,則攻擊者可以控制受影響的系統(tǒng)����。然后,攻擊者可以安裝程序����;查看、更改或刪除數(shù)據(jù)��;或創(chuàng)建具有完全用戶權(quán)限的新帳戶��。將帳戶配置為在系統(tǒng)上擁有較少用戶權(quán)限的用戶可能比使用管理用戶權(quán)限操作的用戶受影響更小�。 安全更新通過(guò)更正Microsoft Excel如何處理內(nèi)存中的對(duì)象來(lái)解決此漏洞。 | 重要 遠(yuǎn)程執(zhí)行代碼 | Excel 2010 Excel 2013 Excel 2016 Office 2019 Office 2016 for Mac Office 2019 for Mac 365 Apps Enterprise* formerly Office 365 ProPlus |
CVE-2020-1069 | Microsoft SharePoint Server遠(yuǎn)程代碼執(zhí)行漏洞 當(dāng)Microsoft SharePoint Server未能正確識(shí)別和篩選不安全的ASP.Net web控件時(shí)�����,存在遠(yuǎn)程代碼執(zhí)行漏洞����。成功利用此漏洞的經(jīng)過(guò)身份驗(yàn)證的攻擊者可以使用精心編制的頁(yè)面在SharePoint應(yīng)用程序池進(jìn)程的安全上下文中執(zhí)行操作��。 要利用此漏洞����,經(jīng)過(guò)身份驗(yàn)證的用戶必須在受影響的Microsoft SharePoint Server版本上創(chuàng)建并調(diào)用構(gòu)建的頁(yè)面���。 安全更新通過(guò)更正Microsoft SharePoint Server處理已創(chuàng)建內(nèi)容的方式來(lái)解決此漏洞���。 | 嚴(yán)重 遠(yuǎn)程執(zhí)行代碼 | SharePoint Foundation 2013 SharePoint Enterprise Server 2016 SharePoint Server 2019 |
甘公網(wǎng)安備 62010002000506號(hào)
