微軟Patch Tuesday修補112項漏洞，包括能和Chrome漏洞串聯的零時差漏洞

微軟昨（10）釋出11月份Patch Tuesday安全更新，修補112項漏洞，其中一項修補日前已被駭客用來串聯Chrome漏洞發動攻擊。另外本月起微軟不再提供漏洞細節描述，可能讓IT部門修補起來更為傷腦筋。

在10月罕見僅修補87項漏洞後，本月安全更新再度回到上百個漏洞的水準。11月Patch Tuesday修補包含17個被列為重大（critical）風險、93個重要（important）及2項中度（moderate）風險的漏洞，分布於Windows、Windows Codecs Library、Office/ Office 服務及Web App、IE、Edge HTML-based Edge及Chromium-based Edge、Exchange Server、Dynamics、Azure（Sphere、SDK、DevOps）、Microsoft Teams、Windows/Microsoft Defender及Visual Studio及ChakraCore等產品。

但本月開始，微軟Patch Tuesday公告做了重大調整，不再針對每項漏洞提供描述，而只提供漏洞編號（CVE）、漏洞風險高低、攻擊管道等資訊，以及更新版本對應的產品，由於欠缺漏洞描述，可能影響IT部門排定修補的優先順序。

其中最值得注意的是由Google Project Zero發現、編號CVE-2020-17087的Windows核心的pool-based緩衝溢位漏洞。它出現在Windows核心加密驅動程式（cng.sys）該元件IOCTL 0x390400處理過程，可讓本機攻擊者進行權限升級。它可和Chrome瀏覽器Freetype零時差漏洞串聯起來，讓惡意程式突破沙箱而在Windows執行，用於沙箱逃逸（sandbox escape）攻擊。有證據顯示目前該漏洞已經遭到使用，而且為一精準攻擊。

其他重大漏洞還包括位於Windows NFS（Network File System）的遠端程式碼執行（RCE）漏洞CVE-2020-17051。McAfee推測本漏洞可能結合NFS核心資訊讀取漏洞以繞過Windows的ASLR（address space layout randomization）防護而遠端執行程式碼。McAfee也指出本漏洞允許惡意程式自我複製（wormable），風險評分達到9.8。

Exchange Server存在CVE-2020-17084及CVE-2020-17083兩個RCE漏洞，CVSS v3評分達8.5及5.5，可能經由傳送惡意郵件誘騙用戶點選開採。但發現兩漏洞的研究人員Steven Seeley指出，CVE-2020-17083不需用戶互動即可開採，風險遭低估，應提升為8.5。

Windows列印多工緩衝處理器（Print Spooler）服務出現兩項漏洞，CVE-2020-17042及CVE-2020-17001。前者為CVSS v3評分為8.8的RCE漏洞，屬於重大風險。後者則為Project Zero小組發現的權限升級漏洞，是繞過Printer Spooler中的另一漏洞CVE-2020-1337而發生，Google也提供了概念驗證（PoC）攻擊程式。雖然僅列為CVSS v3 7.8的中度風險，但安全公司Tenable認為，兩漏洞可能遭駭客串聯發動攻擊。