微软（Microsoft）9日发布了本月Windows操作系统和其他产品的软件安全更新，共计修复129个安全漏洞，其中11个严重（Critical）漏洞，109个重要（Important）漏洞，7个中危漏洞和2个低危漏洞。

根据微软发布的安全公告，成功利用这些漏洞，攻击者可以在目标系统上提升权限，远程执行代码，发动欺骗攻击，绕过安全特性，造成拒绝服务，导致信息泄露。

这些漏洞影响到微软多款产品和系统，包括Windows，浏览器，Microsoft Office，Windows Defender，MicrosoftDynamics，VisualStudio和AzureDevOps等。

本次微软公布的严重漏洞详情如下：

1.    脚本引擎内存损坏漏洞（CVE-2020-1073）

ChakraCore 脚本引擎处理内存中对象的功能中存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

2.    Windows Print Spooler特权提升漏洞（CVE-2020-1048）

当Windows Print Spooler服务错误地允许对文件系统的任意写入，就会存在特权提升漏洞。成功利用该漏洞的攻击者可以使用提升的系统特权运行任意代码。随后，攻击者可安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

3.    Windows OLE 远程执行代码漏洞（CVE-2020-1281）

当Microsoft Windows OLE无法正确验证用户输入时，存在远程执行代码漏洞。攻击者可利用该漏洞执行恶意代码。要利用该漏洞，攻击者必须诱使用户在网页或电子邮件中打开经特殊设计的文件或程序。

4.    LNK远程执行代码漏洞（CVE-2020-1299）

当Windows处理.LNK文件时，Microsoft Windows中存在一个远程执行代码漏洞。成功利用该漏洞的攻击者可能会获得与本地用户相同的用户权限。与拥有管理用户权限的用户相比，帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

5.    Windows远程执行代码漏洞（CVE-2020-1300）

当Microsoft Windows无法正确处理cabinet文件时，存在远程执行代码漏洞。若要利用该漏洞，攻击者需要诱使用户打开经特殊设计的cabinet文件或欺骗网络打印机并诱骗用户安装伪装成打印机驱动程序的恶意cabinet文件。

6.    Windows Shell远程执行代码漏洞（CVE-2020-1286）

当 Windows Shell 不正确地验证文件路径时，存在远程执行代码漏洞。成功利用该漏洞的攻击者可以在当前用户的上下文中运行任意代码。

为了利用该漏洞，攻击者必须诱使用户打开经特殊设计文件。在电子邮件攻击情形中，攻击者可能通过向用户发送经特殊设计的文件并诱导用户打开该文件以利用漏洞。在基于 Web 的攻击情形中，攻击者可能托管一个网站（或利用一个遭到入侵的网站来接受或托管用户提供的内容），其中包含一个经特殊设计的旨在利用该漏洞的文件。攻击者无法强迫用户访问该网站。相反，攻击者必须说服用户单击链接并打开经特殊设计的文件。

7.    Microsoft SharePoint Server远程执行代码漏洞（CVE-2020-1181）

当Microsoft SharePoint Server未能正确识别和筛选不安全的ASP.NET Web 控件时，存在远程代码执行漏洞。经身份认证的攻击者可借助特制的页面利用该漏洞在 SharePoint 应用程序池进程的安全上下文中执行操作。

8.    Microsoft浏览器内存损坏漏洞（CVE-2020-1219）

Microsoft 浏览器访问内存中的对象的功能中存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

9.    VBScript远程执行代码漏洞（CVE-2020-1213）

VBScript引擎处理内存中对象的功能中存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

在基于 Web 的攻击情形中，攻击者可托管一个设计用于通过Internet Explorer利用该漏洞的特殊构造的网站，然后诱使用户查看该网站。攻击者也可在托管 IE渲染引擎的应用程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件。攻击者还可能利用遭到入侵的网站以及接受或托管用户提交的内容或广告的网站。这些网站可能包含可以利用该漏洞的特制的内容。

10.       VBScript远程执行代码漏洞（CVE-2020-1216）

VBScript引擎处理内存中对象的功能中存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

11.       VBScript远程执行代码漏洞（CVE-2020-1216）

VBScript引擎处理内存中对象的功能中存在远程执行代码漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码，从而损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

微软已经发布漏洞补丁，建议用户尽快应用最新的安全补丁，保护计算机免遭入侵和攻击。