1.微软2020年11月的月度例行安全公告共修复了微软旗下多款产品中存在的112个安全漏洞。

涉及Windows操作系统、Office办公软件、IE浏览器、Edge浏览器、Exchange Server、Microsoft Dynamics、Azure Sphere、Windows Defender、Microsoft Teams和Visual Studio。

这112个漏洞中有17个为严重等级，93个为重要等级，2个为一般等级。

其中Windows cng.sys权限提升漏洞（CVE-2020-17087）是一个在野被利用的0day漏洞。该漏洞存在于Windows系统的cng.sys驱动程序中，攻击者可以利用该漏洞结合其他普通权限的远程攻击漏洞一起来获取系统管理权限。

已知的在野攻击中该漏洞正在与一个Google Chrome浏览器的0day漏洞（CVE-2020-15999，已在Chrome浏览器最新版本中修复）一起被利用。

建议用户尽快使用系统自带的更新功能进行补丁更新。漏洞详情请参见：

3.Adobe在11月发布了安全更新，用于修补Windows系统和Mac系统下的Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017和Acrobat Reader 2017中的14个安全漏洞，其中有3个为严重等级，6个为重要等级，5个为一般等级，这些漏洞可能导致远程代码执行、权限提升、敏感信息泄露等，建议用户尽快进行版本更新。

4.VMware公司发布了一个风险通告（VMSA-2020-0026），通告中包含两个漏洞，VMware缓冲区/栈溢出漏洞（CVE-2020-4004）、VMware权限提升漏洞（CVE-2020-4005）。

这两个漏洞结合利用可以导致虚拟机逃逸并最终获取宿主机/服务器的管理权限。另一个存在Workspace One版本中的指令注入漏洞（CVE-2020-4006）则允许攻击者经由TCP 8443端口访问组态工具并以管理员权限在底层系统上执行任意命令。

目前上述漏洞的补丁程序还未正式发布，厂商建议以临时缓解措施来降低风险，详细的信息请参见：