捷徑！快速找到Windows安全漏洞對應的修復補丁

　　隨着全球範圍的黑客入侵不斷猖獗，信息安全問題越來越嚴重。在對抗黑客入侵的安全技術中，實時入侵檢測和漏洞掃描評估的技術和產品已經開始佔據越來越重要的位置。實時入侵檢測和漏洞掃描評估基於的主要方法還是“已知入侵手法檢測”和“已知漏洞掃描”，換句話説就是基於知識庫的技術。由於沒有針對這些掃描器平台的分類標準，直接比較他們的數據庫非常困難。使用一個共同的名字，可以幫助用户在各自獨立的各種漏洞數據庫中和漏洞評估工具中共享數據，CVE就是在這樣的環境下應運而生的。

　　CVE 的英文全稱是“Common Vulnerabilities & Exposures”，即通用漏洞披露。它就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點提供一個公共的名稱。如果在一個漏洞報告中指明的一個漏洞有CVE名稱，你就可以快速地在任何其它CVE兼容的數據庫中找到相應修補的信息，解決安全問題。

　　接下來以大家日常使用最多的Windows操作系統來舉例。當系統安全漏洞被發現後，就會向CNA(CVE Numbering Authorities)申請CVE編號，系統安全漏洞通過驗證並符合相應規則後會發佈在#FormatAID_0#官網，點擊首頁的“Search CVE List”可以按CVE編號或者關鍵字查詢CVE項目。CVE ID的格式為CVE-YYYY-NNNNN。YYYY部分是分配CVE ID的年份或漏洞公開的年份(如果在分配CVE ID之前)。NNNNN部分為CAN分配的編號。年份部分不用於指示漏洞的發現時間，而僅用於指示漏洞的公開或分配時間。

　　CNNVD是中國國家信息安全漏洞庫，英文名稱“China National Vulnerability Database of Information Security”，簡稱“CNNVD”，隸屬於中國信息安全測評中心，是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能，負責建設運維的國家級信息安全漏洞庫，為我國信息安全保障提供基礎服務。CNNVD採集收錄、分析驗證涉及國內外主流應用軟件、操作系統和網絡設備等軟硬件系統的信息安全漏洞(CVE)，發佈於CNNVD官方網站(//cnnvd.org.cn/)並對安全漏洞指定CNNVD編號，與CVE形成對應關係，例如CVE-2021-26855對應CNNVD-202103-192。CNNVD的內容相對CVE更詳細。

　　作為Windows軟件廠商的微軟公司，針對定期發佈的系統安全漏洞，都會提供相應的解決漏洞的方案，一般按月發佈在微軟安全響應中心(//msrc.microsoft.com/update-guide)，例如#FormatAID_1#，通過點擊“安全更新程序”中相應產品的“Security Update”鏈接可以下載到修復這個安全漏洞的補丁更新。對於沒有補丁更新的情況，可以在“臨時解決方案”、“常見問題解答”或“緩解”中找到應對方案。

　　兩個編號由兩個不同的主體發佈在不同的網站，要求用户有相應的知識背景才知道如何查找。用户在獲知漏洞存在時，一般都非常着急，希望能找到官方可靠的修復補丁，但大部分用户並不知道去哪裏找。下面是筆者針對近期發佈的Windows操作系統安全漏洞整理的對應漏洞補丁列表。

　　有了上面的列表，當你發現一個CVE漏洞時可以簡單地通過在Microsoft Update Catalog網站(//www.catalog.update.microsoft.com/home.aspx)中通過搜索KB編號找到修復補丁，也可以通過CNNVD官網(//cnnvd.org.cn/web/vulnerability/querylist.tag)搜索CNNVD編號查看更多關於安全漏洞的詳細信息。