微軟於2020年4月補丁日針對113個漏洞發布補丁

4月份，Microsoft發布了113個的漏洞補丁，涉及產品涵蓋Microsoft Windows、Microsoft Edge（基於EdgeHTML和Chromium）、ChakraCore、Internet Explorer、Office和Office Services和Web Apps、Windows Defender、Visual Studio、Microsoft Dynamics、Microsoft Apps for Android和Mac的Microsoft Apps。

在CVE中這113個漏洞，17個超危，96高危。與2019年同期相比，微軟在2020年1月至4月間修補的CVE數量增加了44％。尋找漏洞的研究人員數量增加以及受支持產品組合的增加都有可能導致這一增長。

一起了解幾個本期典型的漏洞：

-       CVE-2020-1020- Adobe字體管理器庫遠程代碼執行漏洞

針對Windows 7系統。如果攻擊者可以誘使用戶查看特製字體，攻擊者可以使用此漏洞在受影響的系統上執行代碼。該代碼將在已登錄用戶的級別運行。儘管這些攻擊專門針對Windows 7系統，但是自從作業系統在今年1月退出支持以來，並不是所有Win7系統都會收到補丁。只有擁有ESU許可證的 Windows 7和Server 2008客戶才能收到補丁。

-        CVE-2020-0938 - OpenType字體解析遠程代碼執行漏洞

此錯誤與以前的漏洞有關，但它會影響不同的字體渲染器。可以被利用為主動攻擊。同樣，如果用戶查看了特製字體，則攻擊者可以在目標系統上執行其代碼。我們還應注意，Windows 10系統受這些錯誤的影響較小，因為代碼執行將在AppContainer沙箱中進行。Win7用戶還需要此修補程序的ESU許可證。

-        CVE-2020-0993 -服務漏洞

修補程序解決在Windows DNS服務進行拒絕服務（DoS）漏洞。請注意，這是DNS服務而不是DNS Server，因此客戶端系統也受此漏洞影響。攻擊者可以通過向受影響的系統發送一些特製的DNS查詢，從而導致DNS服務無響應。由於不涉及代碼執行，因此被評為「中危」。但是，考慮到未經身份驗證的攻擊者可能造成的損害，這在測試和部署列表中應該很高。

-        CVE-2020-0981 - Windows令牌安全功能繞過漏洞

安全功能繞過直接導致沙箱逃逸。該漏洞是由Windows錯誤地處理令牌關係導致的。攻擊者可能會濫用此權限，以允許具有特定完整性級別的應用程式以不同的（可能是更高的）完整性級別執行代碼。結果是沙箱轉義。這只會影響Windows 10 1903及更高版本，因此該代碼是相對較新的功能。

共有39個補丁用於某種形式的特權提升（EoP）。其中，特權提升漏洞（CVE-2020-0935），存在於Windows版OneDrive中。

在此，我們強烈建議Windows用戶和系統管理員儘快應用最新的安全補丁，以防止網絡犯罪分子和黑客控制計算機。

---