微软今天发布了更新,以修复其Windows操作系统和支持的软件中的近130个安全漏洞。目前尚不清楚这些漏洞目前都没有受到积极利用,但其中23个漏洞可能会被恶意软件或不满者利用,在几乎没有用户帮助的情况下获得对Windows计算机的完全控制。
大多数最危险或“严重”的漏洞都会处理微软各种Windows操作系统及其网络浏览器Internet Explorer和Edge中的问题。9月份标志着微软连续第七个月发布了对其产品中100多个缺陷的修复,也是连续第四个月修复了120多个缺陷。
本月企业关注的主要问题之一是CVE-16875-2020,其中涉及电子邮件软件Microsoft Exchange Server2016和2019年的一个严重缺陷。攻击者只需向易受攻击的Exchange服务器发送诱杀电子邮件,即可利用Exchange漏洞运行他选择的代码。
趋势科技零日计划的达斯汀·蔡尔兹(Dustin Childs)表示:“这并不能让它变得更有价值,但对于Exchange服务器来说,这大约是最糟糕的情况。”“我们已经看到以前打过补丁的Exchange漏洞CVE-2020-0688在野外使用,这需要身份验证。我们可能很快就会在野外看到这只。这应该是你们的首要任务。“。
对于公司来说,CVE-2020-1210也不是很好,它是Microsoft Sharepoint文档管理软件支持的版本中的一个远程代码执行缺陷,坏人可以通过将文件上传到易受攻击的Sharepoint站点来攻击它。安全公司Tenable指出,这个漏洞让人想起CVE-2019-0604,这是自2019年4月以来被利用来获取网络犯罪收益的另一个Sharepoint问题。
微软修复了Sharepoint版本2010到2019年的至少另外五个严重错误,这些错误也可能被用来危害运行该软件的系统。Record Future的高级安全架构师艾伦·利斯卡(Alan Liska)表示,由于勒索软件供应商有利用Sharepoint漏洞在企业内部造成严重破坏的历史,公司绝对应该优先部署这些修补程序。
伊万提的托德·谢尔提醒我们,周二补丁不仅仅是Windows更新:谷歌已经为其Chrome浏览器发布了一个关键更新,解决了至少五个被评为高度严重的安全漏洞。如果你使用Chrome,并注意到一个图标,在地址栏右侧的圆圈内有一个小的向上箭头,那么是时候更新了。完全关闭Chrome并重启它应该会应用挂起的更新。
再说一次,Adobe的Flash Player今天没有提供安全更新,尽管该公司确实发布了浏览器插件的非安全软件更新。Flash上一次获得安全更新是在2020年6月,这可能表明研究人员和/或攻击者已经不再寻找它的漏洞。Adobe表示,它将在今年年底停用该插件,微软也表示,计划到那时通过Windows Update从所有微软浏览器中完全删除该程序。
在使用本月的补丁批次进行更新之前,请确保您已备份系统和/或重要文件。Windows更新软管系统或阻止其正常启动的情况并不少见,有些更新甚至知道会擦除或损坏文件。
因此,在安装任何补丁之前,请先帮您自己一个忙并进行备份。Windows10甚至提供了一些内置工具来帮助你做到这一点,要么是以每个文件/文件夹为基础,要么是一次性为你的硬盘驱动器制作一个完整的可引导副本。
如果您希望确保已将Windows设置为暂停更新,以便您可以在操作系统决定按自己的计划重新启动和安装补丁程序之前备份文件和/或系统,请参阅本指南。
和往常一样,如果您在本月安装这些补丁时遇到故障或问题,请考虑在下面留下评论;其他读者很有可能也经历过同样的情况,并可能会在这里提供一些有用的提示。