微软1月份补丁日重点漏洞

1. CVE-2020-0601

漏洞描述：

Microsoft Windows平台特定加密应用程序编程接口（也称为CryptoAPI，Microsoft Cryptography API，MS-CAPI或简称为CAPI）是Microsoft Windows 操作系统附带的应用程序编程接口，可提供使开发人员能够保护基于Windows的应用程序的服务使用密码学。它是一组动态链接的库，提供了一个抽象层，该抽象层将程序员与用于加密数据的代码隔离开来。CryptoAPI支持公共密钥和对称密钥加密。它包括用于加密和解密数据以及使用数字证书进行身份验证的功能。它还包括一个加密安全的伪随机数生成器函数CryptGenRandom。

CVE-2020-0601，Windows CryptoAPI欺骗漏洞，该漏洞产生的主要原因是Windows CryptoAPI（Crypt32.dll）验证椭圆曲线密码术（ECC）证书的方式不健全，可以实现欺骗。 攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞 ，从而使该文件被认定为来自可靠的合法来源。用户无法知道文件是恶意的。 成功的利用还可以使攻击者进行中间人攻击，并在与受影响软件的用户连接上解密机密信息。

影响范围：

Windows 10；

Windows Server 2016；

Windows Server 2019；

Windows Server ，version 1803；

Windows Server ，version 1903；

Windows Server ，version 1909

修复建议：

微软已更新受影响软件的安全补丁，根据不同版本系统下载安装对应的安全补丁即可，

安全更新链接如下：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

2.CVE-2020-0603

漏洞描述：

ASP.NET是开放源代码服务器端 Web应用程序框架，旨在用于Web开发以生成Microsoft开发的动态网页，以允许程序员构建动态网站，应用程序和服务。ASP.NET的后继者是ASP.NET Core。

CVE-2020-0603，ASP.NET Core远程代码执行漏洞，该漏洞产生的原因主要是ASP.NET Core在处理内存对象时存在问题。 攻击者可以诱导用户使用受影响的ASP.NET Core打开特制的文件，成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。

影响范围：

ASP.NET Core 2.1

ASP.NET Core 3.0

ASP.NET Core 3.1

修复建议：

微软已更新受影响软件的安全补丁，根据不同版本系统下载安装对应的安全补丁即可，

安全更新链接如下：

ASP.NET Core 2.1 : 更新至2.1.15版本https://dotnet.microsoft.com /download/dotnet-core/2.1

ASP.NET Core 3.0 : 更新至3.0.2版本

https://dotnet.microsoft.com/download/dotnet-core/3.0

ASP.NET Core 3.1 : 更新至3.1.1版本

https://dotnet.microsoft.com/download/dotnet-core/3.1

3.CVE-2020-0605/0606

漏洞描述：

它是ASP.NET 与其他框架（如Entity Framework）一起作为模块化Web框架的重新实现。新框架使用新的开源.NET编译器平台（代号“ Roslyn”）。

.NET Framework是Microsoft开发的一种软件框架，主要在 Windows上运行。它包括一个称为框架类库（FCL）的大型类库，并提供了几种编程语言之间的语言互操作性（每种语言都可以使用以其他语言编写的代码）。为.NET Framework编写的程序在称为公共语言运行时（CLR）的软件环境（与硬件环境相反）中执行。FCL和CLR共同构成.NET Framework。

CVE-2020-0605/0606，.NET Framework远程代码执行漏洞，该漏洞产生的原因主要是.NET Framework在对文件源标记进行检查时存在问题。 攻击者可以诱导用户使用受影响的.NET Framework打开特制的文件，成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。

影响范围：

.NET Core 3.0

.NET Core 3.1

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.6.1

Microsoft .NET Framework 4.6.2

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.7.1

Microsoft .NET Framework 4.7.2

Microsoft .NET Framework 4.8

修复建议：

微软已更新受影响软件的安全补丁，根据不同版本系统下载安装对应的安全补丁即可，安全更新链接如下：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0606

4.CVE-2020-0646