- Веднъж на месец се издава отчет за всички CVE заедно с актуализацията на Patch Tuesday.
- CVE означават Общи уязвимости и експозиции, и те се отнасят за продукти на Microsoft и Adobe.
- CVE се различават по трудност, като някои се оценяват като важни, докато други са критични.
- След като прочетете нашия отчет CVE, със сигурност ще искате да приложите най-новите актуализации на защитата.
Докато Кръпка вторник е добре известно, че един път от месеца Microsoft поправя и закърпва своята операционна система Windows, много хора също могат да знаят, че това е и когато излизат месечните отчети за CVE.
Е, това се случва днес, тъй като актуализациите от априлска кръпка от вторник вече също са на живо.
Досега 2021 г. е доста изобилен в CVE, като всеки месец се откриват следните цифри:
- Януари: 91
- Февруари: 106
- Март: 97
Докладът за CVE през април включва 124 идентифицирани CVE
Уязвимости, открити в продуктите на Adobe
Що се отнася до продуктите на Adobe, бяха идентифицирани общо 10 CVE, които засегнаха Adobe Photoshop, Digital Editions, RoboHelp и Bridge.
Само актуализацията на Bridge е фиксирала 6 от тези CVE, така че ако използвате програмата, получаването на последната актуализация е почти задължително.
Що се отнася до сериозността, 10-те специфични за Adobe CVE бяха оценени, както следва:
- 6 CVE бяха оценени като Критично
- 4 CVE бяха Мост
- Бяха 2 CVE Свързано с Photoshop
- 4 CVE бяха оценени като Важно
Уязвимости, открити в продуктите на Microsoft
Както винаги, продуктите на Microsoft взеха по-голямата част от откритите CVE, като само техният брой премина 100 знака.
Тези CVE засягат програми като Microsoft Windows, Edge (базирани на Chromium), Azure и Azure DevOps Сървър, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio и Exchange Сървър.
Що се отнася до огромните числа, това е най-големият брой CVE, намерени през 2021 г., достигайки нива, сравними с тези от 2020 г.
Що се отнася до сериозността на тези 114 грешки, те бяха оценени, както следва:
- 19 са оценени като Критично
- 88 са оценени Важно
- Единият е оценен Умерен по тежест.
Кои бяха някои от най-тежките CVE?
Както винаги, някои CVE се открояват от останалите поради своята строгост, начина, по който могат да бъдат използвани, или просто от това колко трудно се справят, след като се възползват от тях.
-
CVE-2021-28480/28481
- Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server
-
CVE-2021-28329
- Уязвимост за отдалечено изпълнение на повикване по време на изпълнение
-
CVE-2021-28444
- Уязвимост за заобикаляне на функцията за защита на Windows Hyper-V
За пълен списък на CVE вижте таблицата по-долу:
CVE |
Заглавие |
Тежест |
| CVE-2021-28310 | Win32k Издигане на привилегия уязвимост | Важно |
| CVE-2021-28458 | Azure ms-rest-nodeauth Библиотека Издигане на привилегия уязвимост | Важно |
| CVE-2021-27091 | RPC Endpoint Mapper Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-28437 | Уязвимост при разкриване на информация за Windows Installer | Важно |
| CVE-2021-28312 | Уязвимост на Windows NTFS за отказ на услуга | Умерен |
| CVE-2021-28460 | Уязвимост при изпълнение на неподписан код на Azure Sphere | Критично |
| CVE-2021-28480 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Критично |
| CVE-2021-28481 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Критично |
| CVE-2021-28482 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Критично |
| CVE-2021-28483 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Критично |
| CVE-2021-28329 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28330 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28331 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28332 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28333 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28334 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28335 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28336 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28337 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28338 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28339 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-28343 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Критично |
| CVE-2021-27095 | Уязвимост за отдалечено изпълнение на код на Windows Media Video Decoder | Критично |
| CVE-2021-28315 | Уязвимост за отдалечено изпълнение на код на Windows Media Video Decoder | Критично |
| CVE-2021-27092 | Уязвимост за байпас на функцията за защита на уеб вход в Azure AD | Важно |
| CVE-2021-27067 | Уязвимост за разкриване на информация за сървър на Azure DevOps и Team Foundation Server | Важно |
| CVE-2021-28459 | Уязвимост за подправяне на Azure DevOps Server и Team Foundation Services | Важно |
| CVE-2021-28313 | Diagnostics Hub Standard Collector Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-28321 | Diagnostics Hub Standard Collector Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-28322 | Diagnostics Hub Standard Collector Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-28456 | Уязвимост при разкриване на информация в Microsoft Excel | Важно |
| CVE-2021-28451 | Уязвимост на Microsoft Excel за отдалечено изпълнение на код | Важно |
| CVE-2021-28454 | Уязвимост на Microsoft Excel за отдалечено изпълнение на код | Важно |
| CVE-2021-27089 | Уязвимост за отдалечено изпълнение на код на API за интернет съобщения на Microsoft | Важно |
| CVE-2021-28449 | Уязвимост на Microsoft Office за отдалечено изпълнение на код | Важно |
| CVE-2021-28452 | Уязвимост на Microsoft Outlook за корупция | Важно |
| CVE-2021-28450 | Актуализация на Microsoft SharePoint за отказ на услуга | Важно |
| CVE-2021-28317 | Уязвимост при разкриване на информация за библиотеката на Microsoft Windows Codecs | Важно |
| CVE-2021-28453 | Уязвимост за отдалечено изпълнение на Microsoft Word | Важно |
| CVE-2021-27096 | NTFS повишаване на привилегията уязвимост | Важно |
| CVE-2021-28466 | Уязвимост за отдалечено изпълнение на разширение на изображения в необработено състояние | Важно |
| CVE-2021-28468 | Уязвимост за отдалечено изпълнение на разширение на изображения в необработено състояние | Важно |
| CVE-2021-28471 | Разширение за отдалечено разработване на уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-28327 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28340 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28341 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28342 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28344 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28345 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28346 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28352 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28353 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28354 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28355 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28356 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28357 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28358 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28434 | Уязвимост за отдалечено изпълнение на повикване по време на изпълнение | Важно |
| CVE-2021-28470 | Visual Studio Code GitHub Изтегляне на заявки и издаване на разширение Уязвимост за отдалечено изпълнение на код | Важно |
| CVE-2021-28448 | Уязвимост за дистанционно изпълнение на кодове на Visual Studio Code Kubernetes Tools | Важно |
| CVE-2021-28472 | Уязвимост за отдалечено изпълнение на код на Visual Studio Code Maven за Java Extension | Важно |
| CVE-2021-28457 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-28469 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-28473 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-28475 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-28477 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-27064 | Visual Studio Installer Издигане на уязвимостта на Privilege | Важно |
| CVE-2021-28464 | Уязвимост за дистанционно изпълнение на кодове на VP9 Video Extensions | Важно |
| CVE-2021-27072 | Win32k Издигане на привилегия уязвимост | Важно |
| CVE-2021-28311 | Уязвимост при отказ на услугата за кеш за съвместимост на приложения на Windows | Важно |
| CVE-2021-28326 | Уязвимост на сървъра за внедряване на Windows AppX за отказ на услуга | Важно |
| CVE-2021-28438 | Уязвимост на Windows Console за отказ на услуга | Важно |
| CVE-2021-28443 | Уязвимост на Windows Console за отказ на услуга | Важно |
| CVE-2021-28323 | Уязвимост при разкриване на информация за DNS на Windows | Важно |
| CVE-2021-28328 | Уязвимост при разкриване на информация за DNS на Windows | Важно |
| CVE-2021-27094 | Ранно стартиране на уязвимост на функцията за защита на драйвера за антималуер на Windows | Важно |
| CVE-2021-28447 | Ранно стартиране на уязвимост на функцията за защита на драйвера за антималуер на Windows | Важно |
| CVE-2021-27088 | Проследяване на събития на Windows Повишаване на привилегията уязвимост | Важно |
| CVE-2021-28435 | Уязвимост за разкриване на информация за проследяване на събития в Windows | Важно |
| CVE-2021-28318 | Уязвимост при разкриване на информация за Windows GDI + | Важно |
| CVE-2021-28348 | Уязвимост на Windows GDI + Remote Code Execution | Важно |
| CVE-2021-28349 | Уязвимост на Windows GDI + Remote Code Execution | Важно |
| CVE-2021-28350 | Уязвимост на Windows GDI + Remote Code Execution | Важно |
| CVE-2021-26416 | Уязвимост на Windows Hyper-V при отказ на услуга | Важно |
| CVE-2021-28314 | Увеличение на привилегията на Windows Hyper-V | Важно |
| CVE-2021-28441 | Уязвимост за разкриване на информация на Windows Hyper-V | Важно |
| CVE-2021-28444 | Уязвимост за заобикаляне на функцията за защита на Windows Hyper-V | Важно |
| CVE-2021-26415 | Увеличение на привилегията на Windows Installer | Важно |
| CVE-2021-28440 | Увеличение на привилегията на Windows Installer | Важно |
| CVE-2021-26413 | Уязвимост за подправяне на Windows Installer | Важно |
| CVE-2021-27093 | Уязвимост за разкриване на информация за ядрото на Windows | Важно |
| CVE-2021-28309 | Уязвимост за разкриване на информация за ядрото на Windows | Важно |
| CVE-2021-27079 | Уязвимост при разкриване на информация за Windows Media Photo Codec | Важно |
| CVE-2021-28445 | Уязвимост за отдалечено изпълнение на кодова мрежова файлова система на Windows | Важно |
| CVE-2021-26417 | Уязвимост за разкриване на информация за филтър за наслагване на Windows | Важно |
| CVE-2021-28446 | Уязвимост при разкриване на информация за Windows Portmapping | Важно |
| CVE-2021-28320 | Разширение на услугата PSM на Windows Resource Manager Издигане на уязвимостта на Privilege | Важно |
| CVE-2021-27090 | Сигурен режим на ядро на Windows Повишаване на уязвимостта на Privilege | Важно |
| CVE-2021-27086 | Услуги на Windows и приложение на контролер за повишаване на привилегията уязвимост | Важно |
| CVE-2021-28324 | Уязвимост на Windows SMB за разкриване на информация | Важно |
| CVE-2021-28325 | Уязвимост на Windows SMB за разкриване на информация | Важно |
| CVE-2021-28347 | Повишаване на привилегията на уязвимостта по време на изпълнение на Windows | Важно |
| CVE-2021-28351 | Повишаване на привилегията на уязвимостта по време на изпълнение на Windows | Важно |
| CVE-2021-28436 | Повишаване на привилегията на уязвимостта по време на изпълнение на Windows | Важно |
| CVE-2021-28319 | Уязвимост на Windows TCP / IP за отказ на услуга | Важно |
| CVE-2021-28439 | Уязвимост на Windows TCP / IP за отказ на услуга | Важно |
| CVE-2021-28442 | Уязвимост на Windows TCP / IP за разкриване на информация | Важно |
| CVE-2021-28316 | Уязвимост на Windows WLAN AutoConfig Service Security Feature Bypass | Важно |
Това завършва нашия брифинг за отчета за CVE за този месец и както виждате, цифрите са доста постоянни, така че ако използвате някой от гореспоменатите продукти, опитайте се или да актуализирате възможно най-скоро, или да инсталирате антивирусен инструмент на трета страна, който да ви помогне навън.
Имайте предвид, че тези CVE могат да бъдат доста опасни, особено когато актуализациите не се прилагат и сте оставени като цел за събития като месечните Експлоатирайте сряда, което е унизителен термин, даден на деня след кръпка вторник.
Какво мислите за отчета за CVE за този месец, като оставите отзивите си в раздела за коментари по-долу.
