微軟修補123個安全漏洞

微軟在7月的Patch Tuesday修補了123個安全漏洞，其中有18個被列為可造成遠端程式攻擊的重大（Critical）漏洞，其中之一為在Windows Sever中DNS元件潛藏了17年的CVE-2020-1350，它在CVSS 3.0風險評分中達到最高的10.0。另一個受到矚目的則是CVE-2020-1463，雖然這只是個被列為重要（Important）等級的權限擴張漏洞，但在微軟修補之前已被公開揭露。

此次微軟所修補的漏洞涉及十多種產品，涵蓋Windows、EdgeHTML版的Microsoft Edge、Chromium版的Microsoft Edge、IE、ChakraCore、Microsoft Office、Windows Defender、Skype for Business、Visual Studio、Microsoft OneDrive、.NET Framework、Azure DevOps與開源軟體。

根據Zero Day Initiative（ZDI）的統計，從今年的1月到7月，微軟所修補的安全漏洞總計已達742個，已經超越了2017年整年度的665個，以及2018年的691個，下個月很可能就會超越2019年的851個。

已被公開揭露的CVE-2020-1463出現在Windows的SharedStream函式庫處理記憶體物件時，成功的開採將允許駭客擴張權限以執行程式，前提是駭客必須具備本地端權限。

除了CVE-2020-1350與CVE-2020-1463之外，ZDI也特別說明了CVE-2020-1025、CVE-2020-1147與CVE-2020-1349等3個重大漏洞。其中，CVE-2020-1025同時存在於SharePoint Server及Skype for Business Server上，當它們不適當地處理OAuth權杖驗證時就會出現權限擴張漏洞，允許駭客繞過認證機制而執行不當的存取。

至於CVE-2020-1147亦同時存在於.NET Framework、SharePoint及Visual Studio，只要這些軟體無法檢查所輸入XML檔案的來源標記，就會產生遠端程式攻擊漏洞，而允許駭客執行任意程式。CVE-2020-1349則為Microsoft Outlook的遠端程式攻擊漏洞，原因來自於它無法妥善處理記憶體中的物件，駭客只要透過一個特製的檔案並誘導使用者開啟，就能以使用者權限執行程式。