10月20日修补周二:Microsoft修复了潜在的Wormable Windows TCP / IP RCE漏洞

在这个10月20日的修补周二:

  • 微软已插入87个安全漏洞,包括Windows TCP / IP堆栈中的关键漏洞和Microsoft Outlook和Microsoft 365 Enterprise应用程序
  • Adobe为Adobe Flash Player提供了安全更新
  • 英特尔警告官方Linux蓝牙协议堆栈中的Bluez中的缺陷
  • SAP已发布15个安全说明和更新以前发布的6个。

10月20日修补周二

微软的更新

微软在各种产品中发布了87个CVE编号缺陷的补丁:11至关重要,75个重要,以及中等严重程度。目前没有固定的漏洞都没有被利用,但其中六个人以前是公开的。

趋势科技零日举行的尘埃粉的儿童已经挑出了一些应该迅速解决的少数:

CVE-2020-16898. –可以通过向受影响的Windows Server或客户端发送特制的ICMPv6路由器通告来远程利用Windows TCP / IP漏洞,并且可以允许代码执行。 McAfee的研究人员被称为漏洞“坏邻居”,因为它位于ICMPv6邻居发现“协议”中, that it “可以做出伤害”.

“唯一的好消息是微软的内部安全团队出土的漏洞,意思是PoC代码可能不会曲面,直到某人逆向工程,并发现这些漏洞的来源,”Automox高级产品营销经理Nicholas Colyer指出。

CVE-2020-16947 –一种影响Microsoft Outlook和Microsoft 365应用程序的Enterprise的远程执行漏洞。缺陷可以由特制文件触发,目标用户被相信/欺骗到开放,还可以通过用户通过预览窗格预览文件(即,用户不必使用附加文件打开电子邮件命令剥削工作)。

CVE-2020-16909 –Windows错误报告(WER)组件中的错误,可以由经过身份验证的攻击者使用以执行具有升级权限的任意代码。“虽然这一CVE未列为公开剥削的,但此组件中的错误已被报告为在无纺丝攻击中的野外使用。无论如何,这个月的WER组件中的其他错误不应忽略,” Childs 指出.

Animesh Jain,Fulnerability签名产品管理器AT Equys, 建议 优先考虑Windows摄像头编解码器,GDI +,浏览器,Hyper-V,Outlook,Media Foundation和图形组件工作站的漏洞。

她还建议管理员将SharePoint Server更新应用于补丁两个RCE(CVE-2020-16951和CVE-2020-16952)

微软解释说,对这些漏洞的漏洞要求将一个特制的SharePointer应用程序包上传到受影响的SharePoint版本,但如果它们成功,则可以在SharePoint应用程序池和SharePoint的上下文中运行任意代码服务器农场。

Adobe的更新

Adobe发布了一个 单一安全公告 这次,为Windows,MacOS,Linux和Chrome OS提供Adobe Flash Player的安全更新消息。

临界无效指针解除引用漏洞(CVE-2020-9746)已被固定,这可能导致可利用崩溃,并且可能在当前用户的上下文中执行任意代码。

“CVE-2020-9746的开发需要攻击者在HTTP响应中插入恶意字符串,该默认情况下通过TLS / SSL传递,”Adobe共享。该漏洞不会积极剥削。

用户应记住,到年底,闪光将达到生活结束(EOL),并思考时间是否终于使用流行(但经常有针对性)的媒体播放器。

英特尔的更新

英特尔也只发布了一个 咨询,警告Bluez蓝牙协议栈中的三个漏洞。

可以(CVE-2020-12352)可以利用特权升级,用于信息披露的第二个(CVE-2020-2490),第三个(CVE-2020-24490)可以导致DOS。

英特尔建议受影响的用户将Linux内核更新为第5.9版或更高版本,或者如果可以安装bluez发布的内核修复程序’t执行内核更新。

SAP的更新

SAP通过释放15个安全说明和更新以前发布的SAP,SAP标志着10月20日修补程序。

最关键的补丁是为了 SAP解决方案管理器 (一个集成的端到端平台,旨在帮助用户采用新的开发,管理应用程序生命周期和运行SAP解决方案)和运行SAP解决方案) SAP专注于运行 (服务提供商的高批量系统和应用监控,警报和分析解决方案)。都包含CA Introscope Enterprise Manager,其中包括:

  • CVE-2020-6364–OS命令注入漏洞,和
  • CVE-2020-6369.–硬编码凭证

其他补丁已经 假如 对于各种产品中的新固定缺陷,包括SAP NetWeaver,SAP Business Objects Business Intelligence平台,SAP景观管理,SAP NetWeaver作为Java,SAP Commerce云等。

分享这个