2020年1月安全更新：CVE-2020-0601

2020年1月的安全更新包含多个重要和关键的安全补丁。我们一如既往地建议客户尽快更新系统。今天发布的所有更新详情可在安全更新指南中找到。

我们坚信协调漏洞披露（CVD）是解决安全漏洞的行业最佳实践。通过安全研究人员与供应商之间的合作，CVD确保在漏洞公开之前得到解决。为防止给客户带来不必要的风险，安全研究人员和供应商在更新可用之前不会讨论已报告漏洞的详细信息。

本月我们解决了影响Windows 10系统（包括服务器版本：Windows Server 2016和Windows Server 2019）用户模式加密库CRYPT32.DLL中的漏洞CVE-2020-0601。该漏洞被归类为重要级别，我们尚未发现其在主动攻击中被利用。这个漏洞是我们与安全研究社区合作的一个例子，漏洞被私下披露并发布更新以确保客户不会面临风险。我们鼓励所有安全研究人员通过我们的门户网站报告潜在漏洞。

我们在行业间合作的另一个例子是我们的安全更新验证程序（SUVP）。通过该程序，来自全球的选定组织可以有限且受控地访问这些更新的评估版本，以便在其测试环境中验证和确认互操作性。这些是用于应用程序兼容性测试的发布候选版本。他们的反馈帮助我们能够在更新星期二向所有客户提供高质量的安全修复程序。SUVP计划参与者不得将这些修复程序用于此目的以外的任何用途。

Microsoft不会在我们的常规更新星期二计划之前为任何组织发布生产部署的更新。

通过这一系列承诺，我们继续提供高质量的安全修复程序，帮助保护我们的客户。

– Mechele Gruhn，首席安全项目经理，MSRC

相关链接：

• 了解协调漏洞披露
• 了解安全更新验证程序（SUVP）
• 阅读Microsoft安全更新指南
• 向Microsoft报告安全漏洞