• 發布單位:TWCERT/CC
• 更新日期:2020-04-16
• 點閱次數:1819

微軟推出四月分的「Patch Tuesday」資安漏洞修補包，一共修復多達 113 個資安漏洞，其中有 3 個 0-day 漏洞、15 個嚴重漏洞。

微軟於日前推出 2020 年四月分的「Patch Tuesday」資安漏洞修補包。這個月的修補包一共修復多達 113 個資安漏洞；其中有 3 個是 0-day 漏洞、15 個嚴重漏洞、93 個重要等級漏洞、3 個一般等級漏洞、2 個低危險等級漏洞。

在最危險的 3 個 0-day 漏洞中，其中有兩個已經公開，分別是 CVE-2020-0935、CVE-2020-1020；前者問題出在 One Drive for Windows，駭侵者可透過此漏洞提升執行權限，後者則是出自 Adobe 字體管理程式庫，可讓駭侵者遠端執行任意程式碼。

另外，在這三個 0-day 漏洞中，也有兩個 0-day 漏洞已被駭侵者用以進行攻擊活動，分別是 CVE-2020-0938、CVE-2020-1020，兩者都是出自 Adobe 字體管理程式庫，可讓駭侵者遠端執行任意程式碼。

其他被標示為嚴重等級且於此次獲得修補的漏洞，部分摘錄如下：

CVE-2020-1022：Dynamic Business Central，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0687：Microsoft Graphics，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0907：Microsoft Graphics Components，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0931：Microsoft SharePoint，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0927：MIcrosoft SharePoint，可讓駭侵者進行 XSS 攻擊。
CVE-2020-0932：Microsoft SharePoint，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0929：Microsoft SharePoint，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0974：Microsoft SharePoint，可讓駭侵者遠端執行任意程式碼。
CVE-2020-0969：Chakra Scripting Engine，記憶體崩潰漏洞。
CVE-2020-0970：Scripting Engine 記憶體崩潰漏洞。
CVE-2020-0965：Microsoft Windows Codecs Library，可讓駭侵者遠端執行任意程式碼。

建議所有微軟產品用戶，應盡速安裝本月的資安修補包，以避免遭駭。