微软连续公布二个“重大” 安全漏洞

微软连续公布二个“重大” 安全漏洞

信息安全技术频道🔎

【美博翻墙2020.3.26】近日,微软在 3/12 公布了一项“CVE-2020-0796”安全漏洞、同时紧急推出安全更新,3/25微软又发布警告出现另一项漏洞,但暂未推出更新补丁。微软将这两项漏洞的风险,都标为“重大”(critical)等级。

“CVE-2020-0796” 是一个 SMB(Server Message Block)协议的漏洞,能让黑客从远距攻击,在用户的服务器端或客户端执行任何程序代码,并拿到系统的最高权限。受影响的系统包括 Windows 10 和 Windows Server 的 v1903、v1909二个版本,但 Windows 7 系统不需更新、不受影响。该漏洞的严重风险相似于 2017 年的“永恒之蓝”(EternalBlue),当年那一漏洞导致 WannaCry、NotPetya 等勒索软件在该年份全球肆虐。微软原先计划到 4 月才推送补丁,但目前已紧急发布更新补丁让用户升级防护。

另一项漏洞则与 Windows 内建的 Adobe Type Manager 字体库有关。该漏洞是以欺骗用户开启恶意文件(包含预览)在内的方式,让黑客可以远距执行任意程序代码。

不过,与“CVE-2020-0796”不同,虽然同样注记为“重大”资安风险漏洞,但这项漏洞则需等到 4 月(预计为 4/14),才会有正式的安全更新补丁。微软也坦言,目前已查获有黑客用这一途径进行攻击。会受到影响的系统包括所有 Windows 10 各种版本、Windows 7、Windows 8.1, 以及 Windows Server 2008、2012、2016 和 2019 版。

在正式安全更新补丁发布之前,微软建议了一些方式来简单自保,例如关闭 Windows 资源管理器的预览和详细内容窗格。

原文链接:https://allinfa.com/microsoft-two-critical-security-vulnerabilities.html

原文标题:微软连续公布二个“重大” 安全漏洞 - 美博园