在Windows Setup中存在一個安全漏洞，即安裝操作系統功能更新時的過程中可使得經過本地認證的攻擊者有可能利用提升的系統權限運行任意代碼。該漏洞(CVE-2020-16908)可被利用來安裝軟件、創建新用戶賬戶或乾擾數據。

該漏洞是在Windows Setup處理目錄的方式中發現的，微軟表示，它影響到Windows 10的1803、1809、1903、1909和2004版本。不過微軟表示系統只有在升級到新功能更新的過程中才容易受到攻擊，其他時間都不會受到影響。現在功能更新捆綁包已經提供打了補丁後的Setup二進製文件，該漏洞已經”不復存在”。

這個漏洞只存在於Windows 10 Setup中，當客戶從以前的Windows 10版本升級到較新的版本（例如，從Windows 10版本1909升級到Windows 10版本2004）時，Windows 10 Setup都會暫時運行。只有在升級到較新版本的Windows時，設備才會出現漏洞。如果您正在使用WSUS或MEM ConfigMgr或其他第三方管理工具，請同步最新的功能更新捆綁，並批准這些部署。如果您使用的是Windows媒體，根據系統的適用性，請從VLSC或Visual Studio訂閱版(原MSDN)下載最新的刷新媒體，或下載最新的適用的Setup動態更新(DU)包，並為您現有的媒體打上補丁。

您可以從Microsoft 更新目錄網站下載最新的設置動態更新(DU) 包。可以在以下地址找到：

• 4582759 — Windows 10 Version 1803
• 4582760 — Windows 10 Version 1809
• 4579919 — Windows 10 Version 1903
• 4579919 — Windows 10 Version 1909
• 4579308 — Windows 10 Version 2004

了解更多：

• MISC:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908
• URL:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908