微软已经发布了2020年11月的Office安全更新，针对7种不同的产品进行了总共22个更新和5个累积更新，修复了14个漏洞，其中五个漏洞可能使远程攻击者能够在易受攻击的系统上执行任意代码。

本月Office安全更新的重点是CVE-2020-17061，该漏洞是由Micro Focus Fortify的Oleksandr Mirosh发现的一个高度严重的Microsoft SharePoint漏洞，可导致远程执行代码（RCE）。

攻击者可以以低复杂度的攻击通过Internet远程利用此RCE错误，从而只需要低用户特权，而无需用户交互即可成功利用。

CVE-2020-17061影响几个Microsoft SharePoint版本，包括Microsoft SharePoint Server 2019，Microsoft SharePoint Enterprise Server 2016，Microsoft SharePoint Foundation 2013 Service Pack 1和Microsoft SharePoint Foundation 2010 Service Pack 2。

本月修复的Office安全问题列表

2020年11月补丁程序星期二Office安全更新解决了远程代码执行（RCE），安全绕过，特权提升，信息泄露，欺骗和在线欺骗漏洞的问题。

该缺陷影响运行易受攻击的Microsoft Installer（.msi）和Microsoft Office产品的即点即用版本的Windows系统。

微软将本月修补的五个RCE安全漏洞评为“严重”严重问题，因为它们可以使攻击者能够在当前登录用户的上下文中执行任意代码。

成功利用后，攻击者可以安装恶意程序，查看，更改和删除数据，以及在受感染的Windows设备上创建自己的管理员帐户。

2020年11月Microsoft Office安全更新

本月的Microsoft Office安全更新通过下载中心和Microsoft Update平台提供。

要安装其中一个安全更新，请单击下面相应的知识库文章，然后向下滚动至“如何下载和安装更新”部分，以下载Office产品的更新。

以下链接的知识库文章中提供了其他信息，包括分配给每个漏洞的CVE ID。

Microsoft Office 2016

Microsoft Office 2013

Microsoft Office 2010

Microsoft SharePoint服务器2019

Microsoft SharePoint服务器2016

Microsoft SharePoint服务器2013

Microsoft SharePoint服务器2010

昨天，微软还发布了2020年11月补丁星期二的安全更新，其中包含112个漏洞的安全更新，其中17个被评为严重，93个为严重，两个为中度。

Windows 10 KB4586786和KB4586781累积更新还发布了包含漏洞修复和功能改进的非安全Windows更新。

作为本月补丁程序周二的一部分，微软还解决了Google上个月披露的Windows Kernel Cryptography Driver零日漏洞，追踪为CVE-2020-17087。

该漏洞会影响运行Windows 7或更高版本的计算机，该漏洞已于上个月被Google的零日猎人发现，并遭到有针对性的攻击。

本文翻译自：https://www.bleepingcomputer.com/news/security/office-november-security-updates-fix-remote-code-execution-bugs/