Internet Explorer零日在99个补丁周二问题中
Microsoft发布了99个安全修复,12个标记为2月份修补程序周二更新,其中包含在Internet Explorer Web浏览器中的关键漏洞,已知已经在野外被漏出。
首次公开于1月17日,CVE-2020-0674是脚本引擎在Internet Explorer中的内存中处理对象的方式中的远程执行漏洞。它以允许攻击者在当前用户的上下文中执行任意代码的方式损坏内存,并且如果用户具有管理权限,则会增益相同的用户权限。
在基于Web的攻击场景中,网络犯罪可以设置一个网站,以利用漏洞,并说服用户通过发送网络钓鱼电子邮件来查看网站。
2月份的补丁周二还包括Microsoft Windows,Microsoft Edge(EdgeHTML和Chromium版本),Chakracore,Microsoft Exchange Server,Microsoft SQL Server,Microsoft Office和Microsoft Office服务以及Windows Seight Office Service以及Windows曲面中心的Microsoft SQL Server 。
它遵循最终的1月更新,它不仅标志着Windows 7的支持结束,而且还标定了关键的远程桌面缺陷,特别是在Windows 10和Windows Server 2016中的加密漏洞,它被提醒的美国国家安全机构几乎前所未有。
2月的更新再次出于作为最大的补丁星期二之一,但根据Ivanti的高级安全产品经理,其中大多数CVES的托德Schell介绍它可以通过仅应用几个更新来修复。
“平均而言,您的操作系统更新将解决约50厘米斯,”Schell说。“例外是Windows 10,以及IE和Edge将解决88个CVES。讨论的是什么是这有99个CVES中的哪一个最重要的是解决,以及您需要更新的产品以堵塞这些漏洞。与Microsoft,Adobe和Mozilla一起本月也有安全更新。
“五个CVES(包括零日)一直被公开披露,这意味着已经公开可获得足够的信息,以促进威胁行动者一头开始弄清楚如何利用它们。通过使用每个系统的几个补丁更新操作系统或浏览器,您可以将牙齿从本月的大部分风险中脱离。“
他加了:“所有这些都是真正的好消息是,99个CVES真的并不意味着本月管理员的全部额外工作。正常更新仍然适用。操作系统,浏览器和Office将从Microsoft Aide解析您的大部分漏洞。SQL和Exchange Admins确实在本月获得了一些额外的工作,因为这些产品都包含在发布的更新中。“
Schell表示,对于Windows 7,Server 2008和2008 R2更新可能仍有一些困惑的范围,他指出仍在公开记录并在标准WSUS(Windows Server Update Services)目录中列出。
他指出,这并不意味着每个人都可以访问所述更新,并且根据以前的报告,仍需要向Microsoft扩展安全更新(ESU)方案的支付订阅者,以满足免费更新概述的特定条件。还有一个ESU许可证准备补丁,用户必须安装以准备ESU更新。