2020年12月轻量级补丁程序,星期二无压力

在2020年12月补丁星期二:

  • 微软插入了58个CVE
  • 土坯已为Lightroom,Experience Manager和Prelude提供了安全更新,并宣布将于本周有时发布Acrobat和Reader的更新。
  • 树液已发布并更新了13个安全说明

2020年12月补丁星期二

微软’s updates

预期,Microsoft在2020年12月补丁星期二修复了比平常少的CVE:总共58个。

其中九个是“critical,” 46 “important,” and three are of “moderate”严重性,目前尚无人积极开发或公开。

严重的缺陷包括三个影响Microsoft Exchange的缺陷,其中包括 CVE-2020-17132,这要求对攻击者进行身份验证(即拥有电子邮件帐户的凭据),然后提供一种接管Exchange邮件服务器控制权的路径。

站得住脚的研究工程师Satnam Narang指出,CVE-2020-17132解决了CVE-2020-16875的补丁绕过问题,该问题已在报告和修补中 九月补丁周二 发布。“但是,以揭露该漏洞而著称的研究员Steven Seeley 能够绕过那个补丁,” he added.

趋势科技零日活动的达斯汀儿童 指出 有两个重要等级的Exchange修补程序被记录为与重要等级的相同。“他们具有相同的CVSS分数,相同的常见问题以及受影响的产品。出于安全考虑,也将其视为严重错误,” he 说过.

本月已修复了两个关键的SharePoint RCE漏洞(以及两个重要和两个中等的漏洞),因此也应优先考虑这些更新。

“攻击者可以像大组织内部的水坑一样使用Sharepoint。要做的只是放置一些带有武器的文档,以使恶意代码在组织中传播,”Immersive Labs的网络威胁研究总监Kevin Breen指出。

孩子们单挑 CVE-2020-17095,Hyper-V RCE缺陷和 CVE-2020-16996,一个Kerberos安全功能绕过漏洞,值得注意(和修补),并注意到“本月修补了许多令人惊奇的安全功能绕过错误” –适用于C的Azure SDK,适用于Java的Azure SDK,Azure Sphere,Microsoft Excel,Windows覆盖筛选器和Windows锁屏。

最后,它’也值得一提 CVE-2020-17123,这是一个Excel漏洞,受害者可以打开恶意文档(但不能通过“预览窗格”查看)来触发该漏洞。马辛‘Icewall’思科Talos和Hieu Bui Quang的Noga因其发现而受到赞誉,思科 已发表 关于它的更多细节。

土坯’s updates

土坯已推出Lightroom,Experience Manager和Prelude的安全更新,以及“prenotification”Adobe Acrobat和Reader的安全建议。

“Adobe计划在2020年12月7日当周发布适用于Windows和macOS的Adobe Acrobat和Reader的安全更新,” the company 说过,所以要当心。     

土坯 Lightroom更新 修复了一个关键的代码执行缺陷。的 土坯 Experience Manager更新 (以及AEM Forms附加软件包的更新)堵塞了两个安全漏洞,其中之一很关键,因为它允许在浏览器中任意执行JavaScript。的 土坯 Prelude更新 修复了可能导致任意代码执行的缺陷。

没有漏洞受到主动攻击。

树液的更新

对于2020年12月补丁程序星期二,SAP 已发布 11个安全说明,并更新了两个先前发布的说明。

最关键的补丁是针对SAP NetWeaver AS JAVA(P2P群集通信)中缺少一个身份验证检查漏洞的,该漏洞具有“perfect” CVSS score of 10.

“Onapsis Research Labs最近在SAP NetWeaver AS JAVA的Cluster Manager组件中检测到一系列不同的漏洞。这些漏洞使未经身份验证的攻击者能够连接到相应的TCP端口,以执行不同的特权操作,例如安装新的受信任SSO提供程序,更改数据库连接参数以及获得对配置信息的访问权限。滥用其中的某些行为,攻击者可能能够获得对受影响的SAP系统的完全特权访问权,或者执行拒绝服务攻击,从而使SAP系统无法使用,”Onapsis安全研究员Thomas Fritsch拥有 共享.

树液安全说明#2974774标记为CVSS分数10的补丁修复了上述漏洞。并非针对所有支持软件包级别都提供此补丁(…)好消息是,该说明还提供了一种手动解决方法,可以防止潜在的攻击者连接到P2P服务器套接字端口并监视集群元素之间的通信。在未提供补丁程序的支持程序包级别上运行SAP NetWeaver AS JAVA的客户也可以应用此解决方法。”

分享这个