微软发布5月补丁星期二：3个0day，1个蠕虫

• CVE-2021-31204：.NET 和 Visual Studio 提权漏洞

• CVE-2021-31207：微软 Exchange Server 安全功能绕过漏洞

• CVE-2021-31200: 基础功能类库 (Common Utilities) 远程代码执行漏洞

• CVE-2021-28476：Hyper-V 远程代码执行漏洞。ZDI 分析指出，该漏洞的CVSS评分是9.9分，是本次所修复漏洞中评分最高的漏洞。然而，微软指出攻击者更可能利用该漏洞以漏洞跟踪的形式引发拒绝服务后果而非代码执行。鉴于此，可以说该攻击的复杂性较高，因此CVSS评分可更改为8.5分。然而，它仍然属于高危漏洞而非严重级别。但是，单是漏洞跟踪本身就值得 Hpyer-V 系统尽快更新。

• CVE-2021-31194：OLE 自动化远程代码执行漏洞。ZDI 分析指出，该漏洞涉及通过 Web 浏览器调用 OLE 自动化，需要攻击者诱骗受害者访问网站，实现代码执行。

• CVE-2021-26419：脚本引擎内存损坏漏洞。ZDI 分析指出，该漏洞影响 IE 浏览器，也需要诱骗受害者访问网站。

• CVE-2021-27068：Visual Studio 远程代码执行漏洞。该漏洞是存在于 Visual Studio 2019 中的一个异常漏洞，可造成代码执行后果。它的不同寻常之处在于，无需任何用户交互即可遭利用，因此目前尚不清楚攻击者将如何利用该漏洞。不过似乎攻击者确实需要在某种程度上进行验证，但攻击复杂性交底。运行Visual Studio的开发人员尤其应该打补丁。

• CVE-2020-24587：Windows 无线网络信息泄露漏洞。ZDI分析指出，通常不会特别分析信息泄露漏洞，但该漏洞的潜在风险巨大。该漏洞可导致攻击者披露受影响系统上的加密无线数据包内容。目前尚不清楚这类攻击的范围，但应该需要某种接近才能实现。该漏洞的编号是2020，可以看到微软修复该漏洞确实花了一些时间。

ZDI 还在博客中指出，Exchange 补丁较多，其中某些漏洞和近期举行的 Pwn2Own 黑客大赛有关。其中两个补丁修正的是远程代码执行漏洞。这些漏洞看似源自 Pwn2Own 大赛，但大赛中使用的 exploit 并不需要用户交互。微软的 write-up 确实在 CVSS 评分中列出了用户交互，然而也可能只是对该利用链进行评分。在大赛的多漏洞利用链中还使用了一个欺骗漏洞和安全特征绕过漏洞。鉴于大赛中发现的所有 Exchange 漏洞并未得到全部解决，因此后续微软应该会发布更多和 Exchange 相关的漏洞补丁。ZDI 指出后续将联合微软给出相关澄清。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。