近日，微软官方发布了多个安全漏洞的公告，包括Microsoft Exchange Server 安全漏洞（CNNVD-202012-615、CVE-2020-17117）、Microsoft SharePoint 安全漏洞（CNNVD-202012-620、CVE-2020-17118）、Microsoft Excel 安全漏洞（CNNVD-202012-616、CVE-2020-17122）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、 漏洞介绍

       2020年12月9日，微软发布了2020年12月份安全更新，共58个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了 Windows操作系统、ChakraCore、Office办公套件、Exchange Server、Azure、Visual Studio等多个Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响，具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询，其中部分重要漏洞详情如下：

1、Microsoft Exchange Server 安全漏洞（CNNVD-202012-615、CVE-2020-17132）（CNNVD-202012-615、CVE-2020-17117）（CNNVD-202012-606、CVE-2020-17142）

       漏洞简介：由于Exchange对cmdlet参数的验证不正确，会触发一个Microsoft Exchange服务器中的远程代码执行漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。

2、Microsoft SharePoint 安全漏洞（CNNVD-202012-620、CVE-2020-17118）（CNNVD-202012-617、CVE-2020-17121）

       漏洞简介：SharePoint中存在一个安全漏洞。经过身份验证的攻击者通过发送特制请求包，可在SharePoint Web应用中执行任意.NET代码。

3、Microsoft Excel 安全漏洞（CNNVD-202012-616、CVE-2020-17122）（CNNVD-202012-584、CVE-2020-17127）（CNNVD-202012-586、CVE-2020-17129）

       漏洞简介：Microsoft Excel中存在安全漏洞。当 Microsoft Excel 软件无法正确处理内存中的对象时，该软件中存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。

4、Microsoft PowerPoint 安全漏洞（CNNVD-202012-592、CVE-2020-17124）

       漏洞简介：由于Microsoft SharePoint对用户输入验证不足，攻击者可以输入一些精心构造的数据，造成内存破坏，从而导致远程代码执行。

5、Microsoft Windows Hyper-V 安全漏洞（CNNVD-202012-687、CVE-2020-17095）

       漏洞简介：Microsoft Windows Hyper-V中存在安全漏洞。当主机服务器上的 Windows Hyper-V 无法正确验证来宾操作系统上经身份验证的用户的输入时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在主机操作系统上执行任意代码。

6、Microsoft Edge 安全漏洞（CNNVD-202012-583、CVE-2020-17131）

       漏洞简介：Microsoft Edge存在一个安全漏洞，攻击者可利用该漏洞可以远程执行恶意代码。

       由于此次更新，微软并没有透露太多漏洞详情，请用户自行到官方网站查询，官方地址：

       https://msrc.microsoft.com/update-guide/en-us

二、修复建议

       目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

       https://msrc.microsoft.com/update-guide/en-us

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

       联系方式: [email protected]