- CVE означаватОбщи уязвимости и експозиции, и те се различават по форма и какво влияят.
- По време на кръпка вторник, доклад за всички CVE се публикува за широката общественост.
- CVE се оценяват въз основа на тежестта, от Важни до по-сериозните, оценени като Критични.
- Прочетете повече за CVE за този месец и актуализирайте компютъра си, ако е необходимо.
Всички знаем, че фокусът на актуализациите на Patch Tuesday е подобряването на работата на Windows за потребителите, но те не са само за добавяне, подобряване и коригиране на функции.
Друг ключов аспект на тези актуализации обаче са подобренията в сигурността, които идват с тях, и това е почти защо препоръчваме на всички да получават тези актуализации веднага щом станат достъпни във вашия регион.
Е, 11 май е тук, както и актуализациите за Patch Tuesday, и това означава, че докладите от CVE също са тук.
Досега 2021 г. е доста изобилен в CVE, като всеки месец се откриват следните цифри:
- Януари: 91
- Февруари: 106
- Март: 97
- Април: 124
Като цяло, ето кратко описание на ситуацията с CVE за този месец както за Adobe, така и за свързани с Microsoft продукти, а също така ще подчертаем някои от най-тежките открити.
Докладът за CVE от май включва 98 идентифицирани CVE
Уязвимости, открити в продуктите на Adobe
Adobe пусна общо 12 корекции, предназначени да поправят 43 идентифицирани CVE, които засегнаха Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat и Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium и Анимиране.
От общо 43 CVE на Adobe, 14 са насочени към Adobe Acrobat Reader, една от които все още е оставена неразрешена и те могат да се използват за използване на потребителски данни чрез модифицирани PDF файлове, отворени в Acrobat.
Уязвимости, открити в продуктите на Microsoft
По-голямата част от отчета за CVE за този месец, както винаги, са CVE, свързани с Microsoft, и те възлизат на общо 55.
Тези CVE са насочени към Microsoft Windows, .NET Core и Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint сървър, софтуер с отворен код, Hyper-V, Skype за бизнес и Microsoft Lync и Exchange Сървър.
Що се отнася до сериозността на тези 55 грешки, те бяха оценени, както следва:
- 4 са оценени като Критично
- 50 са оценени Важно
- Единият е оценен Умерен по тежест.
Кои бяха някои от най-тежките CVE?
Някои CVE се открояват в този доклад или поради това колко лесно са били използвани, или поради популярността на програмата, която е била насочена, и те са следните:
-
CVE-2021-31166
- Уязвимост за дистанционно изпълнение на кодове на HTTP протокол
-
CVE-2021-28476
- Уязвимост за отдалечено изпълнение на код на Hyper-V
-
CVE-2021-27068
- Уязвимост на дистанционното изпълнение на Visual Studio
-
CVE-2020-24587
- Уязвимост за разкриване на информация за безжична мрежа в Windows
Ето пълен списък на всички CVE, включени в отчета за този месец:
CVE |
Заглавие |
Тежест |
| CVE-2021-31204 | .NET Core и Visual Studio Elevation на Privilege уязвимост | Важно |
| CVE-2021-31200 | Уязвимост за отдалечено изпълнение на кодове на помощни програми | Важно |
| CVE-2021-31207 | Уязвимост на байпаса на функцията за сигурност на Microsoft Exchange Server | Умерен |
| CVE-2021-31166 | Уязвимост за дистанционно изпълнение на кодове на HTTP протокол | Критично |
| CVE-2021-28476 | Уязвимост за отдалечено изпълнение на код на Hyper-V | Критично |
| CVE-2021-31194 | Уязвимост за дистанционно изпълнение на OLE Automation | Критично |
| CVE-2021-26419 | Уязвимост при повреда на паметта на скриптове на двигателя | Критично |
| CVE-2021-28461 | Уязвимост при скриптове между сайтове на Dynamics Finance and Operations | Важно |
| CVE-2021-31936 | Данни за достъпност на Microsoft за уязвимост при разкриване на уеб информация | Важно |
| CVE-2021-31182 | Уязвимост за подправяне на драйвери за Bluetooth на Microsoft | Важно |
| CVE-2021-31174 | Уязвимост при разкриване на информация в Microsoft Excel | Важно |
| CVE-2021-31195 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Важно |
| CVE-2021-31198 | Уязвимост за отдалечено изпълнение на код на Microsoft Exchange Server | Важно |
| CVE-2021-31209 | Уязвимост за подправяне на сървър на Microsoft Exchange | Важно |
| CVE-2021-28455 | Уязвимост на Microsoft Jet Red Database Engine и Access Connectivity Engine Отдалечено изпълнение на код | Важно |
| CVE-2021-31180 | Уязвимост за отдалечено изпълнение на графичен код на Microsoft Office | Важно |
| CVE-2021-31178 | Уязвимост при разкриване на информация на Microsoft Office | Важно |
| CVE-2021-31175 | Уязвимост на Microsoft Office за отдалечено изпълнение на код | Важно |
| CVE-2021-31176 | Уязвимост на Microsoft Office за отдалечено изпълнение на код | Важно |
| CVE-2021-31177 | Уязвимост на Microsoft Office за отдалечено изпълнение на код | Важно |
| CVE-2021-31179 | Уязвимост на Microsoft Office за отдалечено изпълнение на код | Важно |
| CVE-2021-31171 | Уязвимост при разкриване на информация на Microsoft SharePoint | Важно |
| CVE-2021-31181 | Уязвимост на отдалечено изпълнение на код на Microsoft SharePoint | Важно |
| CVE-2021-31173 | Уязвимост при разкриване на информация за сървър на Microsoft SharePoint | Важно |
| CVE-2021-28474 | Уязвимост за отдалечено изпълнение на код на Microsoft SharePoint Server | Важно |
| CVE-2021-26418 | Уязвимост от подправяне на Microsoft SharePoint | Важно |
| CVE-2021-28478 | Уязвимост от подправяне на Microsoft SharePoint | Важно |
| CVE-2021-31172 | Уязвимост от подправяне на Microsoft SharePoint | Важно |
| CVE-2021-31184 | Уязвимост при разкриване на информация на Microsoft Windows Infrared Data Association (IrDA) | Важно |
| CVE-2021-26422 | Уязвимост за отдалечено изпълнение на код за Skype за бизнес и Lync | Важно |
| CVE-2021-26421 | Уязвимост за подправяне на Skype за бизнес и Lync | Важно |
| CVE-2021-31214 | Уязвимост за отдалечено изпълнение на код на Visual Studio | Важно |
| CVE-2021-31211 | Уязвимост за отдалечено развитие на кода на Visual Studio за отдалечено развитие | Важно |
| CVE-2021-31213 | Уязвимост за отдалечено развитие на кода на Visual Studio за отдалечено развитие | Важно |
| CVE-2021-27068 | Уязвимост на дистанционното изпълнение на Visual Studio | Важно |
| CVE-2021-28465 | Уязвимост за отдалечено изпълнение на разширения на уеб медии | Важно |
| CVE-2021-31190 | Windows Container Isolation FS Filter Driver Издигане на привилегията уязвимост | Важно |
| CVE-2021-31165 | Windows Container Manager Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-31167 | Windows Container Manager Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-31168 | Windows Container Manager Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-31169 | Windows Container Manager Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-31208 | Windows Container Manager Service Издигане на привилегия уязвимост | Важно |
| CVE-2021-28479 | Уязвимост за разкриване на информация за услугата CSC на Windows | Важно |
| CVE-2021-31185 | Уязвимост на Windows Desktop Bridge за отказ на услуга | Важно |
| CVE-2021-31170 | Графичен компонент на Windows Повишаване на уязвимостта на Privilege | Важно |
| CVE-2021-31188 | Графичен компонент на Windows Повишаване на уязвимостта на Privilege | Важно |
| CVE-2021-31192 | Основна уязвимост за изпълнение на отдалечен код на Windows Media Foundation | Важно |
| CVE-2021-31191 | Уязвимост за разкриване на информация за драйвер на филтрирана файлова система на Windows за Windows | Важно |
| CVE-2021-31186 | Уязвимост при разкриване на информация за протокола за отдалечен работен плот на Windows (RDP) | Важно |
| CVE-2021-31205 | Уязвимост на Windows SMB Client Security Bypass | Важно |
| CVE-2021-31193 | Windows SSDP услуга повишаване на привилегията уязвимост | Важно |
| CVE-2021-31187 | Windows WalletService Издигане на уязвимостта на Privilege | Важно |
| CVE-2020-24587 | Уязвимост за разкриване на информация за безжична мрежа в Windows | Важно |
| CVE-2020-24588 | Уязвимост за подправяне на безжична мрежа в Windows | Важно |
| CVE-2020-26144 | Уязвимост за подправяне на безжична мрежа в Windows | Важно |
Като се има предвид това, ние ще завършим нашия преглед на отчета за CVE за този месец и препоръчваме на всеки използвайки някой от засегнатите продукти на Adobe или Microsoft, приложете най-новите актуализации на Patch във вторник веднага щом възможен.
От друга страна, потребителите винаги могат да опитат антивируси на трети страни за да помогнете за сигурността, тъй като те работят също толкова добре, ако не и по-добре, отколкото актуализирането на вашия компютър.
Кажете ни какво мислите за отчета за CVE за този месец, като ни оставите вашите отзиви в раздела за коментари по-долу.
