首页 > 清静研究 > 清静转达 > 清静通告

微软 | 多个0day误差通告

宣布时间 2020-05-21

0x00 误差概述

产品	CVE ID	类型	误差品级	远程使用	影响规模
Windows	CVE-2020-0915	EOA	高危		Windows
	CVE-2020-0986	EOA	高危
	CVE-2020-0916	EOA	高危
	CVE-2020-0915	II	低危
	暂无	AE	高危

0x01 误差详情

尊龙凯时·(中国区)人生就是搏!

2020年5月19日，趋势科技（ZDI）的清静专家披露了Microsoft Windows中五个0day误差，攻击者可以使用这些误差来升级Windows盘算机上的特权。

CVE-2020-0916/CVE-2020-0986/CVE-2020-0915 是Microsoft Windows splwow64不受信托的指针扫除引用特权升级误差，CVSS评分7.0�？傻贾鹿セ髡咴谑苡跋煜低成咸嵘ㄏ�。该误差影响用户模式打印机驱动程序主机历程splwow64.exe，并且是由于缺少对用户提供的输入验证所引起的。攻击者首先需要获得对系统的低会见权限才华使用这些误差，如使用乐成，可导致攻击者在目今用户的上下文中以中等完整性执行代码。

这个用户模式下的打印机驱动主机历程splwow64.exe 还易受一个低危的信息走漏误差影响。该误差的编号是CVE-2020-0915，CVSS评分2.5。该问题是由于在将用户提供的值解引用为指针之前，缺乏对用户输入值的准确验证。

另外一个误差是Microsoft Windows WLAN毗连设置文件缺少身份验证特权升级误差， CVSS评分7.0，现在尚未分派CVE编号。由于不准确地处置惩罚WLAN毗连设置文件，攻击者可以建设恶意设置文件来泄露盘算机帐户的凭证。

0x02 处置惩罚建议

现在厂商还未宣布补丁。

暂时步伐：最大限度地镌汰与服务的交互，仅允许与可信的客户端和服务器与其举行通讯。

0x03 相关新闻

https://securityaffairs.co/wordpress/103507/hacking/microsoft-windows-zero-days.html

0x04 参考链接

https://www.zerodayinitiative.com/advisories/published/

0x05 时间线

2020-05-19 ZDI宣布误差

2020-05-21 VSRC宣布误差通告

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

微软 | 多个0day误差通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线