微软补丁星期二修复 115 个漏洞,泄露的 SMBv3 漏洞已修复
微软已发布了 3 月的补丁星期二,共计修复 115 个漏洞,这也是微软历史上发布的最大的补丁星期二版本。
在被修复的 115 个漏洞中,有 26 个被标记为“严重”安全等级的漏洞,其可能允许攻击者利用远程代码执行。而在这 26 个严重漏洞中,影响浏览器和脚本引擎的则不少于 17 个。因此,对使用 Microsoft 的浏览器的用户来说,最好的建议是尽快进行修补。
本次更新共修复了三个远程代码执行(RCE)漏洞。第一个是 Microsoft Word 中的一个漏洞(CVE-2020-0852),该漏洞会导致软件无法处理内存中的对象,并使得攻击者可以在用户没有打开恶意文件的情况下运行任意代码。易受攻击的版本包括有:适用于 Mac 的Microsoft Office 2016、Microsoft Office 2019、Microsoft Office Online Serve r和 Microsoft SharePoint Server 2019。
其次是 Application Inspector 中的 RCE 漏洞(CVE-2020-0872)。微软称,“该工具将第三方源文件中的示例代码片段反映到其 HTML 输出中时,在 Application Inspector v1.0.23 或更早版本中存在一个远程执行代码漏洞,利用它的攻击者可以将包含代码段的报告部分发送到外部服务器。”
第三个漏洞存在于 Dynamics Business Central 中,编号为 CVE-2020-0905。关于该漏洞,微软表示,攻击者会设法破坏未打补丁的主机,然后可以在受害者的服务器上执行任意 shell 命令。
此外,在微软此次发布的补丁星期二更新中,有关 Microsoft Server Message Block 3.1.1(SMBv3)协议中存在的一个新的“蠕虫”漏洞的详细信息也被意外泄漏。该漏洞编号为 CVE-2020-0796,未包含在此次的补丁星期二更新中。影响 Windows 10 版本 1903 和 1909 以及 Windows Server 版本 1903 和 1909 的 ARM64、32 位和 64 位版本。
根据 Fortinet 的说法,该错误被描述为“ Microsoft SMB 服务器中的缓冲区溢出漏洞”,并获得了最高严重等级。
微软方面也针对该漏洞发布了单独的公告称,“Microsoft 通过 Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式意识到了一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标 SMB 服务器或 SMB 客户端上执行代码。为了利用针对 SMB 服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标 SMBv3 服务器。若要利用针对 SMB 客户端的漏洞,未经身份验证的攻击者将需要配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。”
目前,微软已推出 Windows 10 KB4551762 更新,以修复严重的 SMBv3 漏洞。KB4551762 取代了 Windows 10 版本 1909 和 1903 计算机上的 KB4540673,并且正在通过 Windows Update 推出。
Windows 10 KB4551762 直接下载链接:32 位(x86)和 64 位。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
go-fastdfs v1.3.7 发布,增加上传返回格式 json2,增加视频教程
go-fastdfs是一个基于http协议的分布式文件系统,它基于大道至简的设计理念,一切从简设计,使得它的运维及扩展变得更加简单,它具有高性能、高可靠、无中心、免维护等优点。 v1.3.7 增加上传返回格式 json2,修证生成 google secret 认证 bug 注意:使用前请认真阅读使用文档或视频教程。 优点 支持curl命令上传 支持浏览器上传 支持HTTP下载 支持多机自动同步 支持断点下载 支持配置自动生成 支持小文件自动合并(减少inode占用) 支持秒传 支持一键迁移 支持并行体验 支持断点续传(tus) 支持docker部署 支持自监控告警 支持集群文件信息查看 使用通用HTTP协议 无需专用客户端(支持wget,curl等工具) 类fastdfs 高性能 高可靠 无中心设计(所有节点都可以同时读写) 更新历史 v1.3.6 修复并发备份BUG,增加备份队列参数与延迟备份参数 v1.3.5支持断点续传自定义认证,路径自定义认证 v1.3.4 优化并发上传内存占用 v1.3.3 优化集群管理,支持下载域名自定定义协议(http,https) v1.3.2 修正跨域...
- 下一篇
Chrome 新增开发者工具,帮助开发对色盲友好的页面
Chrome 开发者透露了正在开发中的一个可以帮助开发者使网站对色盲更加友好的开发者工具Color Vision Deficiency(CVD,色觉障碍/色盲)。 根据 ColourBlindAwareness.org 的说法,目前全球大约有 3 亿色盲人群。新的 Chrome 将通过 DevTools 在任何给定的网页上模拟全色盲、红色盲与绿色盲等色盲人群看到的样式。需要包括以下内容: 引入 Chrome DevTools 协议(CDP) API(Emulation#setEmulatedColorVisionDeficiency),以支持通过 CDP 以编程方式启用这些模拟。 引入新的 Puppeteer API,以编程方式支持通过 CDP 进行这些模拟。 在 DevTools colorpicker 小部件中展开对比度检查器,以检查已知色盲之间的对比度问题。 向可访问性审核添加一个 Lighthouse 测试,以使用新功能,并检查每个模拟的对比级别。 长期而言,CVD 理想情况下将在 Blink Renderer 级别获得一级支持,因此可以在不更改文档或不影响计算样式的情况下将过...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Mario游戏-低调大师作品
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8