微软修补了三个正被利用的 0day 漏洞

在本周二释出的例行更新中,微软修补了三个正被利用执行恶意代码或提权的 0day 漏洞。

其中两个 CVE-2020-1020 和 CVE-2020-0938 存在于 Adobe Type Manager Library 中,在非 Windows 10 系统中,成功利用漏洞的攻击者能远程执行代码;在 Windows 10 中,攻击者能在 AppContainer 沙盒中运行代码,虽然权限有限制,但仍然能创建账号,使用完整的用户权限安装程序,浏览、修改或删除数据。

另一个 0day 漏洞 CVE-2020-1027,利用了 Windows 内核处理内存对象的漏洞进行提权。微软未提供利用漏洞进行攻击的细节。

相关推荐:
正常配置下的SSL是服务器认证,但是有时候为了加强校验,将会引入双向认证(多用于内部服务)。 首先配置 nginx ssl,在 nginx 配置文件中加入: ssl on; ssl_certificate /usr/local/ssl/xxx.crt; ssl_cer …
其实这个问题的成因是比较简单的,主要是由于id_rsa相关的文件权限不对,可能的场景是从其它地方拷贝了此文件到.ssh目录下,但又没有纠正权限导致。 怎么解决?授予合理的权限即可。 #shell#chmod 755 ~/.s …
风险在于数据库数据泄露,可被删除、篡改等问题。 若有这方面的问题,其实可以参考WEB上对SQL的防护,通常可以是定向过滤、参数化等,也可以是白名单模式。 然而对于安卓而言,考虑到数据库文件就在本地, …
原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:ex …
Linux下我们会遇到一个常见的问题,那就是如何修复 /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory 问题,这个问题发生的根源不是安装报出问题,而是平台兼容性问题。 怎么理解,就 …
拿起手机扫一扫即可带走我!