近日，微软官方发布了多个安全漏洞的公告，包括多款Microsoft Exchange server 安全漏洞(CNNVD-202009-374、CVE-2020-16875)、Microsoft SharePoint 安全漏洞(CNNVD-202009-384、CVE-2020-1452)、Microsoft Word 安全漏洞(CNNVD-202009-390、CVE-2020-1218)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

2020年9月9日，微软发布了2020年9月份安全更新，共129个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新涵盖了Windows操作系统、IE/Edge浏览器、ChakraCore、SQL Server、Office 组件及Web Apps、Exchange服务器、OneDrive、.Net 框架、Azure DevOps、Visual Studio、Windows Defender等多个Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响，具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询，其中部分重要漏洞详情如下：

1、Microsoft Exchange server 安全漏洞(CNNVD-202009-374、CVE-2020-16875)

漏洞简介：Microsoft Exchange server中存在远程代码执行漏洞，该漏洞源于cmdlet参数的验证不当，攻击者可利用该漏洞在系统用户上下文中运行任意代码。

2、Microsoft SharePoint 安全漏洞(CNNVD-202009-384、CVE-2020-1452)(CNNVD-202009-382、CVE-2020-1460)(CNNVD-202009-393、CVE-2020-1200)(CNNVD-202009-391、CVE-2020-1210)(CNNVD-202009-376、CVE-2020-1576)

漏洞简介：Microsoft SharePoint 中存在安全漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可以利用该漏洞获得与当前用户相同的用户权限。

3、Microsoft Word 安全漏洞( CNNVD-202009-390、CVE-2020-1218)( CNNVD-202009-386、 CVE-2020-1338)

漏洞简介： Microsoft Word 中存在资源管理漏洞。该漏洞源于软件无法正确处理内存中的对象。

4、Microsoft Excel 安全漏洞( CNNVD-202009-371、CVE-2020-1594)( CNNVD-202009-387、CVE-2020-1335)( CNNVD-202009-372、CVE-2020-1332)( CNNVD-202009-373、CVE-2020-1193)

漏洞简介：Microsoft Excel 中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。攻击者可以利用该漏洞获得与当前用户相同的用户权限。

5、Microsoft Dynamics 365和Microsoft Dynamics 安全漏洞( CNNVD-202009-490、 CVE-2020-16862)(CNNVD-202009-467、CVE-2020-16860)

漏洞简介：Microsoft Dynamics 365 (on-premises) 存在远程代码执行漏洞。该漏洞允许攻击者向易受攻击的Dynamics 服务器发送特制的请求，从而导致攻击者可以在SQL服务帐户中运行任意代码。

6、Microsoft Windows 安全漏洞(CNNVD-202009-412、CVE-2020-1319)( CNNVD-202009-428、CVE-2020-1129)

漏洞简介：Microsoft Windows Codecs 存在安全漏洞，该漏洞源于处理内存中的对象，存在远程执行代码漏洞。攻击者可利用该漏洞获取信息，从而进一步入侵用户系统。

7、Windows Media 安全漏洞( CNNVD-202009-407、 CVE-2020-1508)(CNNVD-202009-399、CVE-2020-1593)

漏洞简介：Windows Media中存在安全漏洞。该漏洞源于 Windows Media 音频解码器不正确地处理对象，攻击者可利用该漏洞获取用户信息。

8、Microsoft Windows Jet 数据库安全漏洞( CNNVD-202009-434、CVE-2020-1074)(CNNVD-202009-438、CVE-2020-1039)

漏洞简介：Windows Jet 数据库存在安全漏洞，该漏洞源于不正确地披露其内存中的内容。攻击者可利用该漏洞执行任意代码。

9、Windows GDI 安全漏洞( CNNVD-202009-415、CVE-2020-1285)

漏洞简介：Windows GDI中存在安全漏洞。攻击者可借助该漏洞控制受影响的系统，可以安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

10、Microsoft 浏览器安全漏洞( CNNVD-202009-368、CVE-2020-0878)

漏洞简介：Microsoft 浏览器存在安全漏洞，该漏洞允许攻击者以执行任意代码的方式损坏内存，并可以获得与当前用户相同的用户权限。

11、Microsoft COM 安全漏洞( CNNVD-202009-452、CVE-2020-0922)

漏洞简介：Microsoft COM存在远程代码执行漏洞，该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

二、修复建议

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方链接地址如下：

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn