- Jednou za měsíc je vydána zpráva o všech CVE spolu s aktualizací Patch Tuesday.
- CVE jsou zkratkou Běžné zranitelnosti a expozicea vztahují se na produkty Microsoft a Adobe.
- CVE se liší podle obtížnosti, přičemž některé jsou hodnoceny jako důležité, zatímco jiné jsou kritické.
- Jakmile si přečtete naši zprávu CVE, určitě budete chtít použít nejnovější aktualizace zabezpečení.
Zatímco Patch Tuesday Je známo, že Microsoft jednou za měsíc opravuje a opravuje svůj operační systém Windows, mnoho lidí může také vědět, že tomu tak je i při vydávání měsíčních zpráv CVE.
To se stalo dnes, protože aktualizace April Patch Tuesday jsou nyní také aktivní.
Rok 2021 byl dosud v CVE poměrně hojný a každý měsíc byla objevena následující čísla:
- Leden: 91
- Únor: 106
- Březen: 97
Dubnová zpráva o CVE zahrnuje 124 identifikovaných CVE
Zranitelnosti nalezené v produktech Adobe
Pokud jde o produkty Adobe, bylo identifikováno celkem 10 CVE, které ovlivnily Adobe Photoshop, Digital Editions, RoboHelp a Bridge.
Samotná aktualizace Bridge opravila 6 z těchto CVE, takže pokud používáte program, je nejnovější aktualizace téměř povinná.
Co se týče závažnosti, 10 CVE specifických pro Adobe bylo hodnoceno následovně:
- 6 CVE bylo hodnoceno jako Kritický
- Byly 4 CVE Most-související
- 2 CVE byly Související s Photoshopem
- 4 CVE byly hodnoceny jako Důležité
Chyby zabezpečení nalezené v produktech společnosti Microsoft
Produkty společnosti Microsoft jako vždy převzaly většinu detekovaných CVE, přičemž pouze jejich počet překročil hranici 100.
Tyto CVE ovlivnily programy jako Microsoft Windows, Edge (založené na chromu), Azure a Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio a Exchange Server.
Pokud jde o pouhá čísla, jedná se o nejvyšší počet CVE nalezených v roce 2021 a dosahuje úrovní srovnatelných s rokem 2020.
Pokud jde o závažnost těchto 114 chyb, byly hodnoceny následovně:
- 19 jsou hodnoceny jako Kritický
- 88 je hodnoceno Důležité
- Jeden je hodnocen Mírný v závažnosti.
Které byly některé z nejzávažnějších CVE?
Některé CVE jako vždy vyčnívají ze zbytku díky své závažnosti, způsobu, jakým je lze zneužít, nebo jednoduše tím, jak těžké je zvládnout, jakmile jsou využity.
-
CVE-2021-28480/28481
- Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server
-
CVE-2021-28329
- Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur
-
CVE-2021-28444
- Funkce zabezpečení systému Windows Hyper-V obchází zranitelnost
Úplný seznam CVE najdete v následující tabulce:
CVE |
Titul |
Vážnost |
| CVE-2021-28310 | Zranitelnost zvýšení oprávnění Win32k | Důležité |
| CVE-2021-28458 | Azure MS-rest-nodeauth Library Elevation of Privilege zranitelnost | Důležité |
| CVE-2021-27091 | Zranitelnost služby mapování koncových bodů RPC - zvýšení úrovně oprávnění | Důležité |
| CVE-2021-28437 | Chyba zabezpečení týkající se zpřístupnění informací instalačnímu programu Windows | Důležité |
| CVE-2021-28312 | Zranitelnost odmítnutí služby Windows NTFS | Mírný |
| CVE-2021-28460 | Zranitelnost spuštění kódu Azure Sphere | Kritický |
| CVE-2021-28480 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-28481 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-28482 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-28483 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-28329 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28330 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28331 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28332 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28333 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28334 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28335 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28336 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28337 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28338 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28339 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-28343 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Kritický |
| CVE-2021-27095 | Zranitelnost vzdáleného spuštění kódu Windows Media Video Decoder | Kritický |
| CVE-2021-28315 | Zranitelnost vzdáleného spuštění kódu Windows Media Video Decoder | Kritický |
| CVE-2021-27092 | Funkce zabezpečení webového přihlášení Azure AD obchází chybu zabezpečení | Důležité |
| CVE-2021-27067 | Zranitelnost zveřejnění informací o serveru Azure DevOps Server a Team Foundation Server | Důležité |
| CVE-2021-28459 | Zranitelnost spoofingu Azure DevOps Server a Team Foundation Services | Důležité |
| CVE-2021-28313 | Zranitelnost služby Standard Collector Service Diagnostics Hub Standardní zvýšení úrovně oprávnění | Důležité |
| CVE-2021-28321 | Zranitelnost služby Standard Collector Service Diagnostics Hub Standardní zvýšení úrovně oprávnění | Důležité |
| CVE-2021-28322 | Zranitelnost služby Standard Collector Service Diagnostics Hub Standardní zvýšení úrovně oprávnění | Důležité |
| CVE-2021-28456 | Chyba zabezpečení zpřístupnění informací v aplikaci Microsoft Excel | Důležité |
| CVE-2021-28451 | Chyba zabezpečení týkající se vzdáleného spuštění kódu v aplikaci Microsoft Excel | Důležité |
| CVE-2021-28454 | Chyba zabezpečení týkající se vzdáleného spuštění kódu v aplikaci Microsoft Excel | Důležité |
| CVE-2021-27089 | Zranitelnost vzdáleného spuštění kódu Microsoft Internet Messaging API | Důležité |
| CVE-2021-28449 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-28452 | Chyba zabezpečení týkající se poškození paměti aplikace Microsoft Outlook | Důležité |
| CVE-2021-28450 | Aktualizace odmítnutí služby Microsoft SharePoint | Důležité |
| CVE-2021-28317 | Chyba zabezpečení týkající se zpřístupnění informací kodeky knihovny Microsoft Windows | Důležité |
| CVE-2021-28453 | Chyba zabezpečení aplikace Microsoft Word umožňující vzdálené spuštění kódu | Důležité |
| CVE-2021-27096 | Zvýšení úrovně zabezpečení oprávnění NTFS | Důležité |
| CVE-2021-28466 | Chyba zabezpečení týkající se vzdáleného spuštění kódu pomocí rozšíření rozšířeného obrazu | Důležité |
| CVE-2021-28468 | Chyba zabezpečení týkající se vzdáleného spuštění kódu pomocí rozšíření rozšířeného obrazu | Důležité |
| CVE-2021-28471 | Rozšíření pro vzdálený vývoj pro Visual Studio Code Chyba vzdáleného spuštění kódu | Důležité |
| CVE-2021-28327 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28340 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28341 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28342 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28344 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28345 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28346 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28352 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28353 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28354 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28355 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28356 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28357 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28358 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28434 | Zranitelnost vzdáleného spuštění kódu za běhu vzdáleného volání procedur | Důležité |
| CVE-2021-28470 | Chyba zabezpečení aplikace Visual Studio Code GitHub Pull a problémy s rozšířením vzdáleného spuštění kódu | Důležité |
| CVE-2021-28448 | Chyba zabezpečení produktu Visual Studio Code Kubernetes Tools Remote Execution | Důležité |
| CVE-2021-28472 | Chyba zabezpečení aplikace Visual Studio Code Maven pro rozšíření Java Extension Remote Code Execution | Důležité |
| CVE-2021-28457 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-28469 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-28473 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-28475 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-28477 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-27064 | Zvýšení úrovně zabezpečení oprávnění instalačního programu sady Visual Studio | Důležité |
| CVE-2021-28464 | Zranitelnost vzdáleného spuštění kódu VP9 Video Extensions | Důležité |
| CVE-2021-27072 | Zranitelnost zvýšení oprávnění Win32k | Důležité |
| CVE-2021-28311 | Mezipaměť kompatibility aplikací systému Windows s chybou zabezpečení typu odmítnutí služby | Důležité |
| CVE-2021-28326 | Zranitelnost odmítnutí služby Windows AppX Deployment Server | Důležité |
| CVE-2021-28438 | Zranitelnost ovladače konzoly Windows odmítnutím služby | Důležité |
| CVE-2021-28443 | Zranitelnost ovladače konzoly Windows odmítnutím služby | Důležité |
| CVE-2021-28323 | Chyba zabezpečení týkající se zpřístupnění informací ve Windows | Důležité |
| CVE-2021-28328 | Chyba zabezpečení týkající se zpřístupnění informací ve Windows | Důležité |
| CVE-2021-27094 | Funkce zabezpečení předčasného spuštění ovladače Windows pro antimalware obchází zranitelnost | Důležité |
| CVE-2021-28447 | Funkce zabezpečení předčasného spuštění ovladače Windows pro antimalware obchází zranitelnost | Důležité |
| CVE-2021-27088 | Sledování událostí systému Windows Zvýšení úrovně zranitelnosti oprávnění | Důležité |
| CVE-2021-28435 | Zranitelnost zveřejňování informací o sledování událostí Windows | Důležité |
| CVE-2021-28318 | Chyba zabezpečení týkající se zpřístupnění informací ve Windows GDI + | Důležité |
| CVE-2021-28348 | Zranitelnost vzdáleného spuštění kódu Windows GDI + | Důležité |
| CVE-2021-28349 | Zranitelnost vzdáleného spuštění kódu Windows GDI + | Důležité |
| CVE-2021-28350 | Zranitelnost vzdáleného spuštění kódu Windows GDI + | Důležité |
| CVE-2021-26416 | Zranitelnost odmítnutí služby Windows Hyper-V | Důležité |
| CVE-2021-28314 | Zranitelnost oprávnění Hyper-V v systému Windows | Důležité |
| CVE-2021-28441 | Chyba zabezpečení týkající se zpřístupnění informací systému Windows Hyper-V | Důležité |
| CVE-2021-28444 | Funkce zabezpečení systému Windows Hyper-V obchází zranitelnost | Důležité |
| CVE-2021-26415 | Chyba zabezpečení instalačního programu systému Windows | Důležité |
| CVE-2021-28440 | Chyba zabezpečení instalačního programu systému Windows | Důležité |
| CVE-2021-26413 | Zranitelnost spoofingu Windows Installer | Důležité |
| CVE-2021-27093 | Chyba zabezpečení týkající se zpřístupnění informací o jádře systému Windows | Důležité |
| CVE-2021-28309 | Chyba zabezpečení týkající se zpřístupnění informací o jádře systému Windows | Důležité |
| CVE-2021-27079 | Zranitelnost zveřejnění informací o kodeku Windows Media Photo | Důležité |
| CVE-2021-28445 | Zranitelnost vzdáleného spuštění kódu v systému Windows Network File System | Důležité |
| CVE-2021-26417 | Zranitelnost zveřejnění informací o filtru překryvného okna | Důležité |
| CVE-2021-28446 | Chyba zabezpečení týkající se zpřístupnění informací v systému Windows Portmapping | Důležité |
| CVE-2021-28320 | Zvýšení úrovně zabezpečení oprávnění systému Windows Resource Manager PSM | Důležité |
| CVE-2021-27090 | Zranitelnost režimu zabezpečení jádra systému Windows | Důležité |
| CVE-2021-27086 | Zvýšení úrovně zabezpečení oprávnění aplikací a služeb Windows | Důležité |
| CVE-2021-28324 | Chyba zabezpečení týkající se zpřístupnění informací v systému Windows SMB | Důležité |
| CVE-2021-28325 | Chyba zabezpečení týkající se zpřístupnění informací v systému Windows SMB | Důležité |
| CVE-2021-28347 | Zvýšení úrovně zabezpečení oprávnění systému Windows Speech Runtime | Důležité |
| CVE-2021-28351 | Zvýšení úrovně zabezpečení oprávnění systému Windows Speech Runtime | Důležité |
| CVE-2021-28436 | Zvýšení úrovně zabezpečení oprávnění systému Windows Speech Runtime | Důležité |
| CVE-2021-28319 | Zranitelnost ovladače TCP / IP systému Windows týkající se odmítnutí služby | Důležité |
| CVE-2021-28439 | Zranitelnost ovladače TCP / IP systému Windows týkající se odmítnutí služby | Důležité |
| CVE-2021-28442 | Chyba zabezpečení týkající se zpřístupnění informací v systému Windows TCP / IP | Důležité |
| CVE-2021-28316 | Chyba zabezpečení služby AutoConfig služby Windows WLAN Obejít zranitelnost | Důležité |
Tím je ukončen náš briefing k přehledu CVE z tohoto měsíce a jak vidíte, čísla jsou poměrně konstantní, takže pokud používáte některý z výše uvedených produktů, zkuste buď aktualizovat co nejdříve, nebo si nainstalovat antivirový nástroj jiného výrobce, který vám pomůže ven.
Mějte na paměti, že tyto CVE mohou být docela nebezpečné, zvláště když se aktualizace neaplikují a vy zůstanete jako cíl pro události, jako je měsíční Využijte středu, což je hanlivý termín daný den po Patch Tuesday.
Co si myslíte o přehledu CVE za tento měsíc, když zanecháte zpětnou vazbu v sekci komentářů níže.
