來源：新浪VR

在最新的補(bǔ)丁星期二中，微軟發(fā)布了120個漏洞修復(fù)補(bǔ)丁，其中17個針對高危漏洞，其它的為嚴(yán)重漏洞。值得一提的是，這其中已經(jīng)有2個漏洞被黑客成功利用，部分Windows 10用戶成為了受害者。

具體來說，這兩個漏洞中的第一個是代號CVE-2020-1464的簽名認(rèn)證Windows欺騙漏洞，目前市面上流行的Windows 10、8.1、7甚至服務(wù)器版的Windows Server都會受其影響。該安全漏洞可以讓黑客繞過那些專為防止加載未被正確簽名的文件而設(shè)的安全措施；第二個漏洞則來自于古董級瀏覽器——IE，這個代號為CVE-2020-1380的遠(yuǎn)程代碼執(zhí)行漏洞屬于腳本引擎內(nèi)存損壞，黑客通過它得手后可以馬上獲得與當(dāng)前用戶相同的用戶權(quán)限。

要利用這個漏洞，攻擊者通常會在一些特定的地方，例如那些被入侵了、可以允許用戶上傳自定義內(nèi)容的網(wǎng)站以及那些會用到IE渲染引擎的應(yīng)用上植入惡意軟件。

除了以上兩個漏洞外，這17個高危漏洞中有5個（CVE-2020-1554、CVE-2020-1492、CVE-2020-1379、CVE-2020-1477及CVE-2020-1525）是與Windows Media Foundation有關(guān)，都是利用Windows Media Foundation處理內(nèi)存對象的方式來進(jìn)行入侵。一旦成功，攻擊者可以在目標(biāo)系統(tǒng)內(nèi)安裝惡意軟件、擅自修改數(shù)據(jù)以及建立新的用戶賬號。

另外還有一個針對。NET平臺2.0至4.8版本處理輸入的遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者成功利用這個漏洞的話可以獲得目標(biāo)系統(tǒng)的管理員級別控制權(quán)，他們只需要上傳特制的文件到特定網(wǎng)頁應(yīng)用后就可以了。