捷径！快速找到Windows安全漏洞对应的修复补丁

  【天极网IT新闻频道】随着全球范围的黑客入侵不断猖獗，信息安全问题越来越严重。在对抗黑客入侵的安全技术中，实时入侵检测和漏洞扫描评估的技术和产品已经开始占据越来越重要的位置。实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”，换句话说就是基于知识库的技术。由于没有针对这些扫描器平台的分类标准，直接比较他们的数据库非常困难。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，CVE就是在这样的环境下应运而生的。

  CVE 的英文全称是“Common Vulnerabilities & Exposures”，即通用漏洞披露。它就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点提供一个公共的名称。如果在一个漏洞报告中指明的一个漏洞有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。 

  接下来以大家日常使用最多的Windows操作系统来举例。当系统安全漏洞被发现后，就会向CNA(CVE Numbering Authorities)申请CVE编号，系统安全漏洞通过验证并符合相应规则后会发布在MITRE官网，点击首页的“Search CVE List”可以按CVE编号或者关键字查询CVE项目。CVE ID的格式为CVE-YYYY-NNNNN。YYYY部分是分配CVE ID的年份或漏洞公开的年份(如果在分配CVE ID之前)。NNNNN部分为CNA分配的编号。年份部分不用于指示漏洞的发现时间，而仅用于指示漏洞的公开或分配时间。

  CNNVD是中国国家信息安全漏洞库，英文名称“China National Vulnerability Database of Information Security”，简称“CNNVD”，隶属于中国信息安全测评中心，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家级信息安全漏洞库，为我国信息安全保障提供基础服务。CNNVD采集收录、分析验证涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞(CVE)，发布于CNNVD官方网站(//cnnvd.org.cn/)并对安全漏洞指定CNNVD编号，与CVE形成对应关系，例如CVE-2021-26855对应CNNVD-202103-192。CNNVD的内容相对CVE更详细。

  作为Windows软件厂商的微软公司，针对定期发布的系统安全漏洞，都会提供相应的解决漏洞的方案，一般按月发布在微软安全响应中心(//bdimg.yesky.com/msrc.microsoft.com/update-guide)，例如//bdimg.yesky.com/msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26870，通过点击“安全更新程序”中相应产品的“Security Update”链接可以下载到修复这个安全漏洞的补丁更新。对于没有补丁更新的情况，可以在“临时解决方案”、“常见问题解答”或“缓解”中找到应对方案。 

  两个编号由两个不同的主体发布在不同的网站，要求用户有相应的知识背景才知道如何查找。用户在获知漏洞存在时，一般都非常着急，希望能找到官方可靠的修复补丁，但大部分用户并不知道去哪里找。下面是笔者针对近期发布的Windows操作系统安全漏洞整理的对应漏洞补丁列表。

  Windows操作系统主要安全漏洞及对应补丁

  (截至2024年3月22日) 

  有了上面的列表，当你发现一个CVE漏洞时可以简单地通过在Microsoft Update Catalog网站(//bdimg.yesky.com/www.catalog.update.microsoft.com/home.aspx)中通过搜索KB编号找到修复补丁，也可以通过CNNVD官网(//bdimg.yesky.com/cnnvd.org.cn/web/vulnerability/querylist.tag)搜索CNNVD编号查看更多关于安全漏洞的详细信息。