【安全通告】2020年4月“补丁日” - 微软多个产品安全更新公告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,微软于4月补丁日发布安全公告,披露了 包括SharePoint、OpenType字体库等多个组件的高危安全漏洞,攻击者可利用漏洞达到代码执行目的。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Microsoft SharePoint 是微软 Office 365旗下产品服务,为企业和团队协作工作平台,提供包含Outlook、Excel、Word和其它微软系列产品的在线web接口门户服务。
本次安全更新涵盖了各种微软服务和软件的安全问题,包括SharePoint、Windows字体库和Windows内核,其中:
1、Microsoft SharePoint的远程代码执行漏洞(CVE-2020-0929,CVE-2020-0931,CVE-2020-0932)
攻击者将特制的SharePoint程序包上传到受影响的SharePoint版本后,可们在SharePoint应用程序池和SharePoint服务器中执行任意代码。
2、Windows字体库远程代码执行漏洞(CVE-2020-0687)
Windows字体库处理内存中的某些嵌入式字体时存在远程执行代码漏洞,攻击者可诱骗受害者访问特制网站或打开包含受影响的嵌入式字体的文件来利用此漏洞。
3、Windows Adobe Type Manager库远程代码执行漏洞(CVE-2020-0938、CVE-2020-1020)
Windows Adobe Type Manager库分别处理某些类型的OpenType和多主字体-Adobe Type 1 PostScript字体时出现的远程执行代码漏洞。
风险等级
高风险
漏洞风险
通过利用SharePoint以及字体库等漏洞,攻击者可获取服务器权限,执行恶意命令
影响版本
远程办公应用影响版本:
Microsoft Business Productivity Servers 2010 Service Pack 2
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server 2019
企业级操作系统影响版本:
Windows Server 2008 Service Pack 2
Windows Server 2008 R2 Service Pack 1
Windows Server 2012,2012 R2
Windows Server 2016
Windows Server 2019
修复建议
微软官方已发布漏洞修复更新,腾讯云安全建议您:
1)更新系统补丁: 确保服务器打上了所需的补丁,打开 Windows Update 更新功能或下载修复补丁,点击“检查更新”;
2)不要打开来历不明的文件或者链接 : 避免被攻击者利用在机器上执行恶意代码;
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外