CVE編號

公告標題和摘要

最高嚴重等級和漏洞影響

受影響的軟件

CVE-2020-1020      

Adobe Font Manager Library遠程代碼執(zhí)行漏洞

當Windows Adobe Type Manager Library未能正確地處理構(gòu)建的多主字體Adobe Type 1 PostScript格式時，Microsoft Windows中存在遠程代碼執(zhí)行漏洞。攻擊者有多種方法可以利用此漏洞進行攻擊，例如說服用戶打開構(gòu)建的文檔或在Windows預(yù)覽窗格中查看。

嚴重

遠程執(zhí)行代碼  

Windows 10

Server, version 1803

Server, version 1903

Server, version 1909

Server 2016

Server 2019

Windows 8.1

Server 2012

Server 2012 R2

CVE-2020-0687

Microsoft Graphics遠程代碼執(zhí)行漏洞

當Windows字體庫未能正確處理構(gòu)建的嵌入字體時，存在遠程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。將帳戶配置為在系統(tǒng)上擁有較少用戶權(quán)限的用戶可能比使用管理用戶權(quán)限操作的用戶受影響更小。

安全更新通過更正Windows字體庫處理嵌入字體的方式來解決該漏洞。

嚴重

遠程執(zhí)行代碼

Windows 10

Server, version 1803

Server, version 1903

Server, version 1909

Server 2016

Server 2019

Windows 8.1

Server 2012

Server 2012 R2

CVE-2020-0910

Windows Hyper-V遠程代碼執(zhí)行漏洞

當主機服務(wù)器上的Windows Hyper-V未能正確驗證來賓操作系統(tǒng)上經(jīng)過身份驗證的用戶的輸入時，存在遠程代碼執(zhí)行漏洞。要利用此漏洞，攻擊者可以在來賓操作系統(tǒng)上運行構(gòu)建的應(yīng)用程序，這可能會導(dǎo)致Hyper-V主機操作系統(tǒng)執(zhí)行任意代碼。成功利用此漏洞的攻擊者可以在主機操作系統(tǒng)上執(zhí)行任意代碼。

安全更新通過更正Hyper-V如何驗證來賓操作系統(tǒng)用戶輸入來解決該漏洞。

嚴重

遠程執(zhí)行代碼

Windows 10

Server 2019

Server, version 1903

Server, version 1909                         

CVE-2020-0938

Adobe Font Manager Library遠程代碼執(zhí)行漏洞

當Windows Adobe Type Manager Library未能正確地處理構(gòu)建的多主字體Adobe Type 1 PostScript格式時，Microsoft Windows中存在遠程代碼執(zhí)行漏洞。對于除Windows 10以外的所有系統(tǒng)，成功利用此漏洞的攻擊者都可以遠程執(zhí)行代碼。對于運行Windows 10的系統(tǒng)，成功利用此漏洞的攻擊者可以在AppContainer沙盒上下文中以有限的權(quán)限和功能執(zhí)行代碼。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

攻擊者有多種方法可以利用此漏洞進行攻擊，例如說服用戶打開巧盡心思構(gòu)建的文檔或在Windows預(yù)覽窗格中查看該文檔。

更新通過更正Windows Adobe類型管理器庫處理Type1字體的方式解決了該漏洞。

嚴重

遠程執(zhí)行代碼

Windows 10

Server, version 1803

Server, version 1903

Server, version 1909

Server 2016

Server 2019

Windows 8.1

Server 2012

Server 2012 R2

CVE-2020-0965

Microsoft Windows Codecs Library遠程代碼執(zhí)行漏洞

Microsoft Windows Codecs Library處理內(nèi)存中對象的方式存在遠程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以執(zhí)行任意代碼。

利用此漏洞需要程序處理巧盡心思構(gòu)建的圖像文件。

此更新通過更正Microsoft Windows編解碼器庫如何處理內(nèi)存中的對象來解決此漏洞。

嚴重

遠程執(zhí)行代碼

Windows 10

Server, version 1803

Server, version 1903

Server, version 1909

Server 2016

Server 2019

Windows 8.1

Server 2012

Server 2012 R2

CVE-2020-0969

Chakra Scripting Engine內(nèi)存破壞漏洞

Chakra腳本引擎處理Microsoft Edge（基于HTML）內(nèi)存中對象的方式存在遠程代碼執(zhí)行漏洞。該漏洞可能會破壞內(nèi)存，使得攻擊者可以在當前用戶的上下文中執(zhí)行任意代碼。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權(quán)限。如果當前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

安全更新通過修改脈輪腳本引擎如何處理內(nèi)存中的對象來解決該漏洞。

嚴重

遠程執(zhí)行代碼

Edge (HTML based)

ChakraCore

CVE-2020-0968

Scripting Engine內(nèi)存破壞漏洞

腳本引擎處理Internet Explorer內(nèi)存中對象的方式存在遠程代碼執(zhí)行漏洞。該漏洞可能會破壞內(nèi)存，使得攻擊者可以在當前用戶的上下文中執(zhí)行任意代碼。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權(quán)限。如果當前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

安全更新通過修改腳本引擎處理內(nèi)存中對象的方式來解決該漏洞。

嚴重

遠程執(zhí)行代碼

Internet Explorer 11

CVE-2020-0931

Microsoft SharePoint遠程代碼執(zhí)行漏洞

當軟件無法檢查應(yīng)用程序包的源標記時，Microsoft SharePoint中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以在SharePoint應(yīng)用程序池和SharePoint服務(wù)器場帳戶的上下文中運行任意代碼。

利用此漏洞需要用戶將精心編制的SharePoint應(yīng)用程序包上載到受影響的SharePoint版本。

安全更新通過更正SharePoint如何檢查應(yīng)用程序包的源標記來解決此漏洞。

嚴重

遠程執(zhí)行代碼

SharePoint Foundation 2013

SharePoint Enterprise Server 2013

SharePoint Server 2019

Business Productivity Servers 2010

SharePoint Enterprise Server 2016