4月14日�,�,微软宣布了2020年4月份的月度例行清静通告�,�,修复了其多款产品保存的清静误差。受影响的产品包括::�:Windows 10 1909 & WindowsServer v1909(66个)�、Windows 10 1903 & WindowsServer v1903(66个)�、Windows 10 1809 & WindowsServer 2019(63个)�、Windows 8.1 & Server 2012 R2(39个)�、Windows RT 8.1(38个)�、Windows Server 2012(36个)�、Microsoft Edge (HTML-based)(2个)�、Internet Explorer(4个)和Microsoft Office-related software(22个)。
使用上述误差�,�,攻击者可绕过清静功效限制�,�,获取敏感信息�,�,提升权限�,�,执行远程代码或提倡拒绝服务攻击等。请Microsoft用户尽快下载补丁更新�,�,阻止引发误差相关的网络清静事务。
CVE编号 | 通告问题和摘要 | 最高严重品级和误差影响 | 受影响的软件 |
CVE-2020-1020 | Adobe Font Manager Library远程代码执行误差 当Windows Adobe Type Manager Library未能准确地处理构建的多主字体Adobe Type 1 PostScript名堂时�,�,Microsoft Windows中保存远程代码执行误差。攻击者有多种要领可以使用此误差举行攻击�,�,例如说服用户翻开构建的文档或在Windows预览窗格中审查。 | 严重 远程执行代码 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-0687 | Microsoft Graphics远程代码执行误差 当Windows字体库未能准确处理构建的嵌入字体时�,�,保存远程代码执行误差。乐成使用此误差的攻击者可以控制受影响的系统。然后�,�,攻击者可以装置程序�;�;�;审查�、更改或删除数据�;�;�;或建设具有完全用户权限的新帐户。将帐户设置为在系统上拥有较少用户权限的用户可能比使用治理用户权限操作的用户受影响更小。 清静更新通过更正Windows字体库处理嵌入字体的方式来解决该误差。 | 严重 远程执行代码 | Windows 10 Server,version 1803 Server,version 1903 Server,version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-0910 | Windows Hyper-V远程代码执行误差 当主机服务器上的Windows Hyper-V未能准确验证来宾操作系统上经由身份验证的用户的输入时�,�,保存远程代码执行误差。要使用此误差�,�,攻击者可以在来宾操作系统上运行构建的应用程序�,�,这可能会导致Hyper-V主机操作系统执行恣意代码。乐成使用此误差的攻击者可以在主机操作系统上执行恣意代码。 清静更新通过更正Hyper-V怎样验证来宾操作系统用户输入来解决该误差。 | 严重 远程执行代码 | Windows 10 Server 2019 Server,version 1903 Server,version 1909 |
CVE-2020-0938 | Adobe Font Manager Library远程代码执行误差 当Windows Adobe Type Manager Library未能准确地处理构建的多主字体Adobe Type 1 PostScript名堂时�,�,Microsoft Windows中保存远程代码执行误差。关于除Windows 10以外的所有系统�,�,乐成使用此误差的攻击者都可以远程执行代码。关于运行Windows 10的系统�,�,乐成使用此误差的攻击者可以在AppContainer沙盒上下文中以有限的权限和功效执行代码。然后�,�,攻击者可以装置程序�;�;�;审查�、更改或删除数据�;�;�;或建设具有完全用户权限的新帐户。 攻击者有多种要领可以使用此误差举行攻击�,�,例如说服用户翻开巧全心思构建的文档或在Windows预览窗格中审查该文档。 更新通过更正Windows Adobe类型治理器库处理Type1字体的方式解决了该误差。 | 严重 远程执行代码 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-0965 | Microsoft Windows Codecs Library远程代码执行误差 Microsoft Windows Codecs Library处理内存中工具的方式保存远程代码执行误差。乐成使用此误差的攻击者可以执行恣意代码。 使用此误差需要程序处理巧全心思构建的图像文件。 此更新通过更正Microsoft Windows编解码器库如那里置内存中的工具来解决此误差。 | 严重 远程执行代码 | Windows 10 Server, version 1803 Server, version 1903 Server, version 1909 Server 2016 Server 2019 Windows 8.1 Server 2012 Server 2012 R2 |
CVE-2020-0969 | Chakra Scripting Engine内存破损误差 Chakra剧本引擎处理Microsoft Edge(基于HTML)内存中工具的方式保存远程代码执行误差。该误差可能会破损内存�,�,使得攻击者可以在目今用户的上下文中执行恣意代码。乐成使用此误差的攻击者可以获得与目今用户相同的用户权限。若是目今用户使用治理用户权限登录�,�,则乐成使用此误差的攻击者可以控制受影响的系统。然后�,�,攻击者可以装置程序�;�;�;审查�、更改或删除数据�;�;�;或建设具有完全用户权限的新帐户。 清静更新通过修改脉轮剧本引擎如那里置内存中的工具来解决该误差。 | 严重 远程执行代码 | Edge (HTML based) ChakraCore |
CVE-2020-0968 | Scripting Engine内存破损误差 剧本引擎处理Internet Explorer内存中工具的方式保存远程代码执行误差。该误差可能会破损内存�,�,使得攻击者可以在目今用户的上下文中执行恣意代码。乐成使用此误差的攻击者可以获得与目今用户相同的用户权限。若是目今用户使用治理用户权限登录�,�,则乐成使用此误差的攻击者可以控制受影响的系统。然后�,�,攻击者可以装置程序�;�;�;审查�、更改或删除数据�;�;�;或建设具有完全用户权限的新帐户。 清静更新通过修改剧本引擎处理内存中工具的方式来解决该误差。 | 严重 远程执行代码 | Internet Explorer 11 |
CVE-2020-0931 | Microsoft SharePoint远程代码执行误差 当软件无法检查应用程序包的源标记时�,�,Microsoft SharePoint中保存远程代码执行误差。乐成使用此误差的攻击者可以在SharePoint应用程序池和SharePoint服务器场帐户的上下文中运行恣意代码。 使用此误差需要用户将全心体例的SharePoint应用程序包上载到受影响的SharePoint版本。 清静更新通过更正SharePoint怎样检查应用程序包的源标记来解决此误差。 | 严重 远程执行代码 | SharePoint Foundation 2013 SharePoint Enterprise Server 2013 SharePoint Server 2019 Business Productivity Servers 2010 SharePoint Enterprise Server 2016 |
参考信息::�:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Apr
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV990001
