微軟八月資安修補包，修復多個漏洞，包括兩個已遭駭侵者利用的 0-day 嚴重漏洞

• 發布日期：109-11-20
• 發布單位：刑事警察大隊

參考網站：
TWCERT/CC微軟八月資安修補包，修復多個漏洞，包括兩個已遭駭侵者利用的 0-day 嚴重漏洞
https://www.twcert.org.tw/tw/cp-104-3861-977b6-1.html
微軟於八月推出的例行資安修補包已於日前釋出，其中包括兩個已遭駭侵者廣泛利用的 0-day 嚴重漏洞，也已獲得修補。

微軟於八月推出的例行資安修補包「Patch Tuesday」已於日前釋出，總共修復 120 個大小資安漏洞；值得注意的是，其中包括兩個已遭駭侵者廣泛利用的 0-day 嚴重漏洞修補。

其中一個已得到修補的 0-day 漏洞，是編號 CVE-2020-1464 的漏洞；這個漏洞源於 Windows 系統處理檔案數位簽章時的錯誤；駭侵者可藉以偽造檔案的安全數位簽章，騙過系統檢查。幾乎所有 WIndows 版本，從 Windows 7 到 Windows 10 的各平台版本均存有此一漏洞。

這個漏洞的 CVSS 危險程度評分為 5.5 分，危險程度評級為中等。

另一個得到修補的 0-day 漏洞 CVE-2020-1380 發生於 Internet Explorer 在處理 script 程式碼時發生的記憶體崩潰錯誤；駭侵者可藉由此一漏洞提升執行權限，並且遠端執行任意程式碼。這個錯誤發生在各 Windows 版本上的 Internet Explorer 11。

這個漏洞的 CVSS 危險程度評分為 7.8 分，危險程度評級為高等。

這次微軟推出的八月資安修補包一共修復多達 120 個資安漏洞，其中有 17 個漏洞的危險程度評級達到嚴重等級，其餘 103 個為重要等級；建議微軟產品用戶盡快透過系統更新程式下載安裝每個月的資安修補包，降低遭到駭侵的風險。