微软Patch Tuesday修补112项漏洞，包括能和Chrome漏洞串联的零时差漏洞

微软昨（10）释出11月份Patch Tuesday安全更新，修补112项漏洞，其中一项修补日前已被骇客用来串联Chrome漏洞发动攻击。另外本月起微软不再提供漏洞细节描述，可能让IT部门修补起来更为伤脑筋。

在10月罕见仅修补87项漏洞后，本月安全更新再度回到上百个漏洞的水准。11月Patch Tuesday修补包含17个被列为重大（critical）风险、93个重要（important）及2项中度（moderate）风险的漏洞，分布于Windows、Windows Codecs Library、Office/ Office 服务及Web App、IE、Edge HTML-based Edge及Chromium-based Edge、Exchange Server、Dynamics、Azure（Sphere、SDK、DevOps）、Microsoft Teams、Windows/Microsoft Defender及Visual Studio及ChakraCore等产品。

但本月开始，微软Patch Tuesday公告做了重大调整，不再针对每项漏洞提供描述，而只提供漏洞编号（CVE）、漏洞风险高低、攻击管道等资讯，以及更新版本对应的产品，由于欠缺漏洞描述，可能影响IT部门排定修补的优先级。

其中最值得注意的是由Google Project Zero发现、编号CVE-2020-17087的Windows核心的pool-based缓冲溢位漏洞。它出现在Windows核心加密驱动程式（cng.sys）该元件IOCTL 0x390400处理过程，可让本机攻击者进行权限升级。它可和Chrome浏览器Freetype零时差漏洞串联起来，让恶意程式突破沙箱而在Windows执行，用于沙箱逃逸（sandbox escape）攻击。有证据显示目前该漏洞已经遭到使用，而且为一精准攻击。

其他重大漏洞还包括位于Windows NFS（Network File System）的远端程式码执行（RCE）漏洞CVE-2020-17051。McAfee推测本漏洞可能结合NFS核心资讯读取漏洞以绕过Windows的ASLR（address space layout randomization）防护而远端执行程式码。McAfee也指出本漏洞允许恶意程式自我复制（wormable），风险评分达到9.8。

Exchange Server存在CVE-2020-17084及CVE-2020-17083两个RCE漏洞，CVSS v3评分达8.5及5.5，可能经由传送恶意邮件诱骗用户点选开采。但发现两漏洞的研究人员Steven Seeley指出，CVE-2020-17083不需用户互动即可开采，风险遭低估，应提升为8.5。

Windows打印多工缓冲处理器（Print Spooler）服务出现两项漏洞，CVE-2020-17042及CVE-2020-17001。前者为CVSS v3评分为8.8的RCE漏洞，属于重大风险。后者则为Project Zero小组发现的权限升级漏洞，是绕过Printer Spooler中的另一漏洞CVE-2020-1337而发生，Google也提供了概念验证（PoC）攻击程式。虽然仅列为CVSS v3 7.8的中度风险，但安全公司Tenable认为，两漏洞可能遭骇客串联发动攻击。