巨头公司Microsoft，SAP，Adobe和Google“扎堆”发布针对安全漏洞更新

本篇文章1844字，读完约5分钟

众所周知，对于安全研究人员来说，每个月的第二个星期二是微软补丁星期二。这一次，微软毫无例外地在当天发布了针对其产品安全漏洞的补丁。但更引人注目的是，这是一个聚会，因为sap、adobe和谷歌都在同一天发布了他们产品的安全更新。

microsoft

早在今年5月，安全研究人员就在windows dns中发现了一个严重的安全漏洞，并将其报告给了微软。微软已经确认了这个漏洞，并在7月14日发布了一个安全漏洞更新。此漏洞代码是“sigred”，它也被列为蠕虫漏洞，在系统代码中已经存在了17年。它的cvss严重性得分是10，这是最高的可能得分，这当然意味着该漏洞的严重性。

该漏洞存在于windows dns服务器中，被描述为蠕虫。未经身份验证的黑客可以向易受攻击的windows dns服务器发送巧尽心思构建的数据包来利用此计算机，从而允许任意代码在本地系统帐户的上下文中运行，从而允许攻击者控制整个网络。

攻击者不仅可以完全控制系统，还可以将服务器作为分发点，这样攻击者就可以在系统之间传播恶意软件，而无需任何用户交互。这种蠕虫攻击能力增加了另一个级别的严重性和影响力，使恶意软件作者能够编写类似于著名的蠕虫攻击恶意软件(如wannacry和notpetya)的软件。

微软表示，该漏洞影响所有windows服务器版本，但其他客户端版本和windows 10不受影响。因为它只影响微软的windows dns服务器实现。但是，微软指出，没有证据表明此漏洞已被利用，但客户必须尽快应用windows在线更新来解决此漏洞。

精力

从7.30版到7.50版，sap netweaver作为java (lm配置向导)存在侦察漏洞，而sap netweaver作为java是大多数sap环境中的核心组件。

该组件用于许多流行的sap产品，包括sap s/4hana、sap scm、sap crm、sap企业门户和sap解决方案经理(solman)。该漏洞会影响运行sap netweaver技术堆栈的每个sap应用程序(包括scm、crm、pi、企业门户和解决方案管理器)中存在的默认组件。据安全公司称，全球有40，000名sap客户可能会受到影响。

Sap强烈建议使用sap解决方案的组织尽快应用安全补丁，以避免攻击者完全控制其sap应用程序并窃取敏感数据。

adobe

Adobe为adobe下载管理器、coldfusion、正版服务、媒体编码器和创意云桌面应用程序发布了四个重要补丁。coldfusion、正版服务和创意云桌面中的漏洞允许攻击者通过权限提升来访问目标系统并执行任意代码。

任意代码执行使攻击者能够在设备上或进程内执行命令或代码。Ace漏洞本身仅限于受影响进程的权限范围。但是，当与权限提升漏洞结合使用时，它可以使攻击者快速升级进程的权限并在目标系统上执行代码，从而使攻击者能够完全控制设备。

该漏洞的详细信息如下:

命令注入漏洞(代码名cve-2020-9688):

影响adobe下载管理器2.0.0.518。升级2.0.0.519可以解决这个问题

Dll搜索序列劫持漏洞(代码名cve-2020-9672，cve-2020-9673):

Coldfusion 2016版本号15及以下将受到影响，版本号升级16可以修复

Coldfusion 2018版本号9及以下将受到影响，版本号升级10可以修复

不安全的库加载(代码:cve-2020-9667，cve-2020-9681)和错误处理符号链接(代码:cve-2020-9668):

正版服务版本号6.6及以下将受到影响，版本号升级7.1可以修复

越界读取(cve-2020-9649)和越界写入漏洞(cve-2020-9650，cve-2020-9646):

媒体编码器14.2和更早的版本将受到影响，升级14.3可以修复它

缺少漏洞缓解措施(cve-2020-9669)、不安全的文件权限(cve-2020-9671)、symlink漏洞(cve-2020-9670、cve-2020-9682):

创意云桌面5.1和早期版本将受到影响，升级5.2可以解决这个问题

谷歌

谷歌发布了chrome 84，现在可以在线更新了。这个版本可以解决38个安全漏洞。最严重的漏洞cve-2020-6510被描述为与chrome后台获取功能相关的缓冲区溢出漏洞。在所有这些情况下，建议用户和安全操作团队运行补丁来增强安全性。

来源：搜狐微门户