2020年12月安全更新程序(月度) | MSRC博客
日本安全团队 / 2020年12月8日 / 13分钟阅读
2020年12月9日(日本时间),微软发布了以下软件的安全更新:
- Microsoft Windows
- Microsoft Edge(基于EdgeHTML)
- Android版Microsoft Edge
- ChakraCore
- Microsoft Office、Microsoft Office服务器及Web应用
- Microsoft Windows编解码器库
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere
除了新的安全更新,还发布了1份新的安全公告,并更新了3份现有的漏洞信息。
安全更新程序和安全公告的主要注意事项
- 2020年11月的定期发布中,为应对漏洞CVE-2020-17049(Kerberos KDC)发布了Windows Server的安全更新程序。11月额外发布了解决域控制器应用此更新后发现的Kerberos认证问题的修复程序,该修复已包含在12月的月度累积安全更新中。Windows Server 2008/Windows Server 2008 R2 SP1的修复包含在12月的月度安全更新中(需要ESU)。详情请参阅Windows发布信息和“Kerberos KDC漏洞(CVE-2020-17049)应对指南”。
- 2020年12月的定期发布中,公开了Kerberos漏洞CVE-2020-16996。为完全防护此漏洞,需在域控制器应用安全更新后执行额外步骤。应用详情请参阅支持文章4577252。
- 微软将于2020年12月31日终止对Adobe Flash Player的支持。详情请参阅Japan Windows博客和Japan Developer Support Internet Team博客。
- 2020年9月宣布的服务堆栈更新(SSU)与最新累积更新(LCU)的整合包已于12月月度发布中提供。若继续分别部署SSU和LCU,无需更改部署方法。部署整合包需通过WSUS提供,因此需更改WSUS配置。详情请参阅Windows IT Pro博客。
- 在UAC启用的服务器上以标准模式(非管理员权限)手动安装Exchange更新程序时,部分文件可能未正确更新,导致OWA和ECP运行异常。建议以管理员权限安装更新程序。详情请参阅支持文章4593467、4593466和4593465。
建议客户尽快应用本月发布的安全更新程序。
2020年12月安全更新程序
可通过CVE、KB编号、产品或发布日期对安全漏洞和更新程序信息进行排序和筛选。
安全更新指南
要筛选每月的安全更新,请在日期范围中指定该月的第二个星期二进行搜索。
可利用安全更新指南API创建自定义报告。提供了6个介绍API使用方法的视频(API信息(GitHub)、API访问、HTML文件输出、导出到Excel、获取CVE列表、获取KB列表),请积极利用。
微软针对新发现的漏洞发布了以下新的安全更新程序:
| 产品系列 | 最高严重性 | 最大影响 | 相关支持文章或支持网页 |
|---|---|---|---|
| Windows 10 v20H2、v2004、v1909、v1903、v1809、v1803 | 紧急 | 远程代码执行 | Windows 10 v2004及Windows 10 v20H2: 4592438 Windows 10 v1903及Windows 10 v1909: 4592449 Windows 10 v1809: 4592440 Windows 10 v1803: 4592446 |
| Windows Server 2019、Windows Server 2016、Server Core安装(2019、2016、v20H2、v2004、v1909、v1903) | 紧急 | 远程代码执行 | Windows Server 2019: 4592440 Windows Server 2016: 4593226 Windows Server v2004及Windows Server v20H2: 4592438 Windows Server v1903及Windows Server v1909: 4592449 |
| Windows 8.1、Windows Server 2012 R2及Windows Server 2012 | 重要 | 远程代码执行 | Windows 8.1及Windows Server 2012 R2月度汇总: 4592484 Windows 8.1及Windows Server 2012 R2仅安全: 4592495 Windows Server 2012月度汇总: 4592468 Windows Server 2012仅安全: 4592497 |
| Microsoft Office相关软件 | 重要 | 远程代码执行 | Microsoft Office相关软件的支持文章: 4484372、4484393、4484468、4486698、4486704、4486732、4486742、4486748、4486750、4486754、4486757、4486760、4493139、4493140、4493148 |
| Microsoft SharePoint相关软件 | 紧急 | 远程代码执行 | Microsoft SharePoint相关软件的支持文章: 4486696、4486697、4486721、4486751、4486752、4486753、4493138、4493149 |
| Microsoft Exchange Server | 紧急 | 远程代码执行 | Microsoft Exchange Server的支持文章: 4593465、4593466、4593467 |
| Microsoft Dynamics 365相关软件 | 紧急 | 远程代码执行 | Microsoft Dynamics相关软件的支持文章: 4577009、4578105、4578106 |
| Microsoft Visual Studio相关软件 | 重要 | 远程代码执行 | Visual Studio相关软件安全更新详情,请参阅安全更新指南: https://msrc.microsoft.com/update-guide |
| Azure相关软件 | 重要 | 冒充 | Azure相关软件安全更新详情,请参阅安全更新指南: https://msrc.microsoft.com/update-guide |
| ChakraCore | 紧急 | 远程代码执行 | Chakra Core安全更新详情,请参阅安全更新指南: https://msrc.microsoft.com/update-guide |
新安全公告的发布
发布了公告ADV200013(DNS解析器)。
现有漏洞信息的更新
- 更新了CVE-2020-1325(Azure DevOps Server和Team Foundation Services)。
- 更新了CVE-2020-1596(TLS)。
- 更新了CVE-2020-17049(Kerberos KDC)。
最新服务堆栈更新程序(SSU)请参阅公告ADV990001。
2020年Microsoft Edge(基于Chromium)的安全信息请参阅公告ADV200002。
下一次安全更新计划于1月13日(日本时间)发布。详情请参阅年度日程表。