Microsoft微軟 今天發布了軟件補丁,至少修復了 129 個安全漏洞 Windows 操作系統和支持的軟件,據一些人說,這家軟件巨頭一次性修復的數量創下了紀錄。 在本月解決的漏洞中,沒有一個是在今天之前被利用或詳細說明的,但有一些漏洞值得特別關注——特別是對於遠程工作的企業和員工。
100 月標誌著微軟連續第四個月發布修復程序來解決其產品中的 XNUMX 多個安全漏洞。 其中 XNUMX 個更新解決了微軟認為“關鍵”的問題,這意味著它們可能會被惡意軟件或不滿者利用,在沒有用戶任何幫助的情況下奪取對易受攻擊系統的完整、遠程控制。
在眾多補丁中,一個主要問題是 Windows 文件共享技術(又名 Microsoft 服務器消息塊或“SMB”服務)中的三個漏洞。 也許最令人不安的是(CVE-2020,1301) 是內置於 SMB 功能中的遠程代碼執行錯誤 窗戶7 和 窗戶2008 系統——微軟在 2020 年 XNUMX 月停止支持安全更新的這兩種操作系統。據安全專家稱,此漏洞的一個緩解因素是攻擊者需要已經在網絡上通過身份驗證才能利用它 站得住腳.
SMB 修復緊隨其後 本週發布了概念驗證代碼的消息 這將允許任何人利用微軟修補的關鍵 SMB 漏洞 窗戶10 三月份的系統(CVE-2020,0796). 與本月的嚴重 SMB 漏洞不同,CVE-2020-0796 不需要攻擊者通過目標網絡的身份驗證。 由於現在有無數公司員工在遠程工作,尚未應用 10 月或之後的更新的 Windows XNUMX 用戶現在可能會面臨危險。
微軟的Office 和 Excel 本月獲得幾個更新。 Excel 中的兩個不同缺陷(CVE-2020,1225 和 CVE-2020,1226) 可用於僅通過讓用戶打開誘殺文檔來遠程徵用運行 Office 的計算機。 另一個弱點(CVE-2020,1229) 在大多數版本的 Office 中可能被利用來繞過 Office 中的安全功能,只需在預覽窗格中預覽惡意文檔即可。 這個缺陷也影響 辦公室的Mac,儘管該平台尚無更新。
經過幾個月的修補,我們得到了可喜的休息時間, 土磚 已發布 更新 其 Flash播放器 修復單個但很關鍵的安全問題的程序。 Adobe 表示,它不知道有任何針對 Flash 漏洞的活躍攻擊。 幸運的是, Chrome瀏覽器 和 火狐瀏覽器 現在都默認禁用Flash,Chrome和 IE瀏覽器/ Edge 當有新的安全更新可用時自動更新程序。 Adobe 計劃在今年晚些時候停用 Flash Player。 Adobe 還為其發布了安全更新 體驗經理 和 制框產品.
Windows 7用戶現在應該意識到,儘管Microsoft本月解決的許多缺陷影響Windows 7系統,但是此安全更新不再支持該操作系統(除非您是利用Microsoft的企業版的企業) 付費的擴展安全更新程序,適用於Windows 7 Professional和Windows 7企業用戶。
在您更新本月的補丁批次之前,請確保您已經備份了您的系統和/或重要文件。 靠不住的 Windows 更新來控制系統或阻止系統正常啟動的情況並不少見,有些更新甚至已知會刪除或損壞文件。 所以幫自己一個忙和備份 之前 安裝任何補丁。 Windows 10 甚至有 一些內置工具 可以幫助您做到這一點,無論是基於每個文件/文件夾還是一次都製作完整且可引導的硬盤驅動器。
並且,如果您希望確保已將Windows設置為暫停更新,以便可以在操作系統決定按照自己的時間表重新引導和安裝補丁之前備份文件和/或系統,請參閱 本指南.
與往常一樣,如果您在本月安裝這些補丁程序時遇到故障或問題,請考慮在下面發表評論; 其他讀者也有同樣的經歷,而且可能會有一些有用的提示而引起關注,這是極好的機會。
進一步閱讀:
AskWoody 和 馬丁·布林克曼 在補丁星期二修復和潛在的陷阱
US-CERT 關於 CVE-2020-0796 的積極利用
標籤: CVE-2020,0796, CVE-2020,1225, CVE-2020,1226, CVE-2020,1229, CVE-2020,1301, 微軟 Windows 更新 2020 年 XNUMX 月, 站得住腳
來源:https://krebsonsecurity.com/2020/06/microsoft-patch-tuesday-june-2020-edition/
