在 Windows Setup 中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908) 可被利用来安装软件、创建新用户账户或干扰数据。
该漏洞是在 Windows Setup 处理目录的方式中发现的,微软表示,它影响到 Windows 10 的 1803、1809、1903、1909 和 2004 版本。不过微软表示系统只有在升级到新功能更新的过程中才容易受到攻击,其他时间都不会受到影响。现在功能更新捆绑包已经提供打了补丁后的 Setup 二进制文件,该漏洞已经 "不复存在"。
这个漏洞只存在于 Windows 10 Setup 中,当客户从以前的 Windows 10 版本升级到较新的版本(例如,从 Windows 10 版本 1909 升级到 Windows 10 版本 2004)时,Windows 10 Setup 都会暂时运行。只有在升级到较新版本的 Windows 时,设备才会出现漏洞。如果您正在使用 WSUS 或 MEM ConfigMgr 或其他第三方管理工具,请同步最新的功能更新捆绑,并批准这些部署。如果您使用的是 Windows 媒体,根据系统的适用性,请从 VLSC 或 Visual Studio 订阅版(原 MSDN)下载最新的刷新媒体,或下载最新的适用的 Setup 动态更新(DU)包,并为您现有的媒体打上补丁。
您可以从 Microsoft 更新目录网站下载最新的设置动态更新 (DU) 包。可以在以下地址找到:
4582759 -- Windows 10 Version 1803
4582760 -- Windows 10 Version 1809
4579919 -- Windows 10 Version 1903
4579919 -- Windows 10 Version 1909
4579308 -- Windows 10 Version 2004
了解更多: