微软连续公布二个“重大” 安全漏洞

【美博翻墙2020.3.26】近日，微软在 3/12 公布了一项“CVE-2020-0796”安全漏洞、同时紧急推出安全更新，3/25微软又发布警告出现另一项漏洞，但暂未推出更新补丁。微软将这两项漏洞的风险，都标为“重大”（critical）等级。

“CVE-2020-0796” 是一个 SMB（Server Message Block）协议的漏洞，能让黑客从远距攻击，在用户的服务器端或客户端执行任何程序代码，并拿到系统的最高权限。受影响的系统包括 Windows 10 和 Windows Server 的 v1903、v1909二个版本，但 Windows 7 系统不需更新、不受影响。该漏洞的严重风险相似于 2017 年的“永恒之蓝”（EternalBlue），当年那一漏洞导致 WannaCry、NotPetya 等勒索软件在该年份全球肆虐。微软原先计划到 4 月才推送补丁，但目前已紧急发布更新补丁让用户升级防护。

另一项漏洞则与 Windows 内建的 Adobe Type Manager 字体库有关。该漏洞是以欺骗用户开启恶意文件（包含预览）在内的方式，让黑客可以远距执行任意程序代码。

不过，与“CVE-2020-0796”不同，虽然同样注记为“重大”资安风险漏洞，但这项漏洞则需等到 4 月（预计为 4/14），才会有正式的安全更新补丁。微软也坦言，目前已查获有黑客用这一途径进行攻击。会受到影响的系统包括所有 Windows 10 各种版本、Windows 7、Windows 8.1， 以及 Windows Server 2008、2012、2016 和 2019 版。

在正式安全更新补丁发布之前，微软建议了一些方式来简单自保，例如关闭 Windows 资源管理器的预览和详细内容窗格。

原文链接：https://allinfa.com/microsoft-two-critical-security-vulnerabilities.html

原文标题：微软连续公布二个“重大” 安全漏洞 - 美博园