无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

12月10日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測到微軟官方發(fā)布12月安全更新。本次更新發(fā)布了58個漏洞的安全補丁，涵蓋Windows操作系統(tǒng)、IE/Edge瀏覽器、ChakraCore、Office辦公套件、Exchange Server、Azure、Visual Studio等多個組件。還發(fā)布了一個DNS欺騙漏洞緩解指南。

本次更新涉及多個緊急漏洞和易利用漏洞，建議廣大用戶及時將Windows各項組件更新到最新版本，做好資產(chǎn)自查與防護避免遭受損失。

漏洞描述

CVE-2020-17144：Microsoft Exchange遠程代碼執(zhí)行漏洞

該漏洞評級為重要，Microsoft Exchange在處理內(nèi)存中的對象時，存在一個遠程代碼執(zhí)行漏洞。當(dāng)攻擊者身份認證通過后，可向服務(wù)器的某個API發(fā)送一個偽造的請求, 將含有惡意反序列化的內(nèi)容注入到服務(wù)器的反序列化流中, 從而能夠在服務(wù)器執(zhí)行任意命令, 甚至直接接管服務(wù)器。該漏洞僅影響Exchange 2010的版本，但是利用難度和所需權(quán)限都比較低，實施攻擊更加容易。同時，存在漏洞的功能點本身具備持久化功能，利用成功后將直接進行持久化行為，在不修復(fù)漏洞的情況下將永遠存在，影響較大。

影響版本：

Microsoft Exchange Server 2010 Service Pack 3

CVE-2020-17121：Microsoft SharePoint 遠程執(zhí)行代碼漏洞

該漏洞評級為緊急，Microsoft SharePoint存在一個遠程代碼執(zhí)行漏洞，這個漏洞允許經(jīng)過身份驗證的用戶在SharePoint Web應(yīng)用程序服務(wù)器上執(zhí)行任意 .NET 代碼，在其默認配置中，經(jīng)過身份驗證的 SharePoint 用戶可以創(chuàng)建提供啟動攻擊所必需的所有權(quán)限的網(wǎng)站。

影響版本：

SharePoint 2010、SharePoint 2013、SharePoint Ent 2016、SharePoint 2019

CVE-2020-17096：Windows NTFS 遠程代碼執(zhí)行漏洞

該漏洞評級為重要。Windows NTFS存在一個遠程執(zhí)行代碼漏洞，本地攻擊者可以運行特制的應(yīng)用程序，從而提高攻擊者的特權(quán)。具有SMBv2訪問權(quán)限的遠程攻擊者可以通過網(wǎng)絡(luò)發(fā)送經(jīng)特殊設(shè)計的請求，以利用此漏洞在目標(biāo)系統(tǒng)上執(zhí)行代碼。

影響版本：

Windows 10、Server 2016、Server 2019、Server, version 1903、Server, version 1909、Server, version 2004、Server, version 20H2、Windows 8.1、Server 2012、Server 2012 R2

CVE-2020-17095：Hyper-V 遠程代碼執(zhí)行漏洞

該漏洞評級為緊急。Hyper-V存在一個遠程代碼執(zhí)行漏洞，這個漏洞可能允許攻擊者從Hyper-V guest OS權(quán)限提升到Hyper-V host權(quán)限，在guest OS中利用不需要特殊的權(quán)限配置。

影響版本：

Windows 10、Server 2016、Server 2019、Server, version 1903、Server, version 1909、Server, version 2004、Server, version 20H2

ADV200013： DNS 欺騙漏洞緩解指南

評級為重要。Windows DNS Server在轉(zhuǎn)發(fā)模式下工作時會受該漏洞影響，遞歸模式下工作時不受影響。DNS響應(yīng)包過大時會受到UDP協(xié)議的特性影響，出現(xiàn)分片現(xiàn)象，Windows DNS Server 在遇到此現(xiàn)象時由于沒有相關(guān)限制或校驗，導(dǎo)致旁路攻擊者可以通過偽造分片來偽造DNS響應(yīng)，從而污染W(wǎng)indows DNS Server 的DNS緩存，進而劫持任意域名。

修復(fù)建議

Windows自動更新（推薦）

Windows系統(tǒng)默認啟用Microsoft Update，當(dāng)檢測到可用更新時，將會自動下載更新并在下一次啟動時安裝。

手動更新

微軟官網(wǎng)已發(fā)布安全補丁修復(fù)以上漏洞，用戶也可自行安裝符合操作系統(tǒng)版本的漏洞補丁。

下載地址：https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec

附本次更新的部分漏洞列表供參考

參考鏈接：

[1]https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec

[2]https://www.secrss.com/articles/27709

[3]https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200013

[4]https://www.zerodayinitiative.com/blog/2020/12/8/the-december-2020-security-update-review

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020年12月10日