网络安全
联系我们
网络报修:0516-83262197
网络科:0516-83262220
信息科:0516-83262051
安全资讯
【漏洞预警】CNNVD 关于微软多个安全漏洞的通报2020年5月
发布时间:2020年05月14日 16:04发布人:赵辰阳访问次数:

   近日,微软官方发布了多个安全漏洞的公告,包括MicrosoftSharePoint 安全漏洞(CNNVD-202005-567、CVE-2020-1024)、Microsoft Excel 安全漏洞(CNNVD-202005-555、CVE-2020-0901)、InternetExplorer 内存损坏漏洞(CNNVD-202005-549、CVE-2020-1062)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

      2020年5月13日,微软发布2020年5月份安全更新,共111个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新涵盖了Microsoft Windows、InternetExplorer、Office、SahrePoint、Win32k等多个Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,其中部分重要漏洞详情如下:

1、Microsoft SharePoint安全漏洞(CNNVD-202005-567、CVE-2020-1024)(CNNVD-202005-565、CVE-2020-1069)(CNNVD-202005-566、CVE-2020-1023)(CNNVD-202005-561、CVE-2020-1102)

漏洞简介:当软件无法检查应用程序包的源标记时,MicrosoftSharePoint会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在 SharePoint 应用程序池和 SharePoint 服务器场帐户的上下文中运行任意代码。攻击者必须诱使用户将经过特殊设计的 SharePoint 应用程序包上传到受影响版本的 SharePoint,才能利用此漏洞。

2、MicrosoftWindows Graphics Components 安全漏洞(CNNVD-202005-613、CVE-2020-1153)

漏洞简介:Microsoft 图形组件在内存中处理对象的方式中存在远程代码执行漏洞。成功利用该漏洞的攻击者可以对目标系统执行任意代码。若要利用该漏洞,攻击者需要诱使用户打开一个特制的文件。

3、MicrosoftWindows和Windows Server 安全漏洞(CNNVD-202005-585、CVE-2020-1166)、(CNNVD-202005-583、CVE-2020-1165)

漏洞简介:当 Windows 不正确地处理对剪贴板服务的调用时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在本地系统的安全上下文中运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

4、Microsoft Edge PDF Reader 安全漏洞(CNNVD-202005-540、CVE-2020-1096)(CNNVD-202004-694、CVE-2020-0906)

漏洞简介:当 Microsoft Edge PDF 阅读器不正确地处理内存中的对象时,存在远程代码执行漏洞。该漏洞可能以一种使攻击者可以在当前用户的环境中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

5、Microsoft Excel 资源管理错误漏洞(CNNVD-202005-555、CVE-2020-0901)

漏洞简介:当 Microsoft Excel软件无法正确处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理员用户权限登录,攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理员权限的用户相比,帐户被配置为拥有较少权限的用户受到的影响更小。

6、Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549、CVE-2020-1062)

漏洞简介:当 InternetExplorer 不正确地访问内存中的对象时,会触发远程代码执行漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

7、Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582、CVE-2020-1174)

(CNNVD-202005-581、CVE-2020-1175)(CNNVD-202005-580、CVE-2020-1176)

漏洞简介:当 Windows Jet 数据库引擎不正确地处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在受害者系统上执行任意代码。

8、MicrosoftInternet Explorer VBScript Engine 安全漏洞(CNNVD-202005-553、CVE-2020-1035)(CNNVD-202005-550、CVE-2020-1060)(CNNVD-202005-545、CVE-2020-1093)(CNNVD-202005-569、CVE-2020-1058)

漏洞简介:VBScript 引擎处理内存中对象的方式中存在远程代码执行漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

二、修复建议

      目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:

序号

漏洞名称

官方链接

1

Microsoft SharePoint安全漏洞(CNNVD-202005-567CVE-2020-1024)(CNNVD-202005-565CVE-2020-1069)(CNNVD-202005-566CVE-2020-1023)(CNNVD-202005-561CVE-2020-1102

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1024

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1069

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1023

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1102

2

Microsoft Windows Graphics Components 安全漏洞(CNNVD-202005-613CVE-2020-1153

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1153

3

Microsoft WindowsWindows Server 安全漏洞(CNNVD-202005-585CVE-2020-1166)、(CNNVD-202005-583CVE-2020-1165

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1166

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1165

4

Microsoft Edge  PDF Reader 安全漏洞(CNNVD-202005-540CVE-2020-1096)(CNNVD-202004-694CVE-2020-0906

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1096

5

Microsoft Excel 资源管理错误漏洞(CNNVD-202005-555CVE-2020-0901

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0901

6

Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549CVE-2020-1062

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1062

7

Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582CVE-2020-1174

CNNVD-202005-581CVE-2020-1175)(CNNVD-202005-580CVE-2020-1176

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1174

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1175

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1176

8

Microsoft Internet Explorer VBScript Engine 安全漏洞(CNNVD-202005-553CVE-2020-1035)(CNNVD-202005-550CVE-2020-1060)(CNNVD-202005-545CVE-2020-1093)(CNNVD-202005-569CVE-2020-1058

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0907

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0687

1

Microsoft SharePoint安全漏洞(CNNVD-202005-567CVE-2020-1024)(CNNVD-202005-565CVE-2020-1069)(CNNVD-202005-566CVE-2020-1023)(CNNVD-202005-561CVE-2020-1102

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1024

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1069

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1023

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1102

2

Microsoft Windows Graphics Components 安全漏洞(CNNVD-202005-613CVE-2020-1153

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1153

3

Microsoft WindowsWindows Server 安全漏洞(CNNVD-202005-585CVE-2020-1166)、(CNNVD-202005-583CVE-2020-1165

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1166

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1165

4

Microsoft Edge  PDF Reader 安全漏洞(CNNVD-202005-540CVE-2020-1096)(CNNVD-202004-694CVE-2020-0906

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1096

5

Microsoft Excel 资源管理错误漏洞(CNNVD-202005-555CVE-2020-0901

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0901

6

Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549CVE-2020-1062

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1062

7

Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582CVE-2020-1174

CNNVD-202005-581CVE-2020-1175)(CNNVD-202005-580CVE-2020-1176

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1174

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1175

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1176

8

Microsoft Internet Explorer VBScript Engine 安全漏洞(CNNVD-202005-553CVE-2020-1035)(CNNVD-202005-550CVE-2020-1060)(CNNVD-202005-545CVE-2020-1093)(CNNVD-202005-569CVE-2020-1058

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0907

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0687

 

信息化处将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与信息化处联系。

办公电话:83262220