- CVE jsou zkratkouBěžné zranitelnosti a expozicea liší se formou a tím, na co mají vliv.
- Během Patch Tuesday je zpráva o všech CVE zveřejněna pro širokou veřejnost.
- CVE jsou hodnoceny na základě závažnosti, od důležitých po vážnější, které jsou hodnoceny jako kritické.
- Přečtěte si více o CVE tohoto měsíce a v případě potřeby aktualizujte svůj počítač.
Všichni víme, že se aktualizace Patch Tuesday zaměřují na vylepšení prostředí Windows pro uživatele, ale nejedná se pouze o přidávání, vylepšování a opravování funkcí.
Dalším klíčovým aspektem těchto aktualizací jsou však vylepšení zabezpečení, která s nimi přicházejí, a to je docela dobře, proč doporučujeme, aby každý získal tyto aktualizace, jakmile budou k dispozici ve vašem kraj.
No 11. květen je tady, stejně tak aktualizace Patch Tuesday, což znamená, že jsou zde i zprávy CVE.
Rok 2021 byl dosud v CVE poměrně hojný a každý měsíc byla objevena následující čísla:
- Leden: 91
- Únor: 106
- Březen: 97
- Duben: 124
Celkově je zde uveden stručný přehled situace v tomto měsíci týkající se CVE pro produkty Adobe i Microsoft a také upozorníme na některé ze zjištěných závažnějších.
Květnová zpráva CVE obsahuje 98 identifikovaných CVE
Zranitelnosti nalezené v produktech Adobe
Společnost Adobe vydala celkem 12 oprav, které mají opravit 43 identifikovaných CVE, které ovlivnily Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat a Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium a Animovat.
Z celkových 43 CVE Adobe, 14 cílených na Adobe Acrobat Reader, z nichž jeden dosud nebyl vyřešen, a lze je použít k využití uživatelských dat prostřednictvím upravených souborů PDF otevřených v Acrobatu.
Chyby zabezpečení nalezené v produktech společnosti Microsoft
Převážnou část zprávy za tento měsíc týkající se CVE tvoří jako obvykle CVE související s Microsoftem, které dohromady tvoří celkem 55.
Tyto CVE se zaměřují na Microsoft Windows, .NET Core a Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, software s otevřeným zdrojovým kódem, Hyper-V, Skype pro firmy a Microsoft Lync a Exchange Server.
Pokud jde o závažnost těchto 55 chyb, byly hodnoceny následovně:
- 4 jsou hodnoceny jako Kritický
- 50 je hodnoceno Důležité
- Jeden je hodnocen Mírný v závažnosti.
Které byly některé z nejzávažnějších CVE?
Některé CVE v této zprávě vynikají buď kvůli tomu, jak snadno byly zneužity, nebo kvůli popularitě cíleného programu, a jsou to následující:
-
CVE-2021-31166
- Chyba zabezpečení týkající se vzdáleného spuštění kódu pomocí protokolu HTTP
-
CVE-2021-28476
- Chyba zabezpečení vzdáleného spuštění kódu Hyper-V
-
CVE-2021-27068
- Zranitelnost vzdáleného spuštění kódu sady Visual Studio
-
CVE-2020-24587
- Chyba zabezpečení týkající se zpřístupnění informací o bezdrátových sítích Windows
Zde je kompletní seznam všech CVE obsažených v přehledu za tento měsíc:
CVE |
Titul |
Vážnost |
| CVE-2021-31204 | Zranitelnost oprávnění .NET Core a Visual Studio | Důležité |
| CVE-2021-31200 | Běžné nástroje Chyba zabezpečení týkající se vzdáleného spuštění kódu | Důležité |
| CVE-2021-31207 | Funkce zabezpečení serveru Microsoft Exchange Server obchází chybu zabezpečení | Mírný |
| CVE-2021-31166 | Chyba zabezpečení týkající se vzdáleného spuštění kódu pomocí protokolu HTTP | Kritický |
| CVE-2021-28476 | Chyba zabezpečení vzdáleného spuštění kódu Hyper-V | Kritický |
| CVE-2021-31194 | Chyba zabezpečení vzdáleného spuštění kódu automatizace OLE | Kritický |
| CVE-2021-26419 | Chyba zabezpečení týkající se poškození paměti skriptovacího motoru | Kritický |
| CVE-2021-28461 | Zranitelnost skriptování mezi weby pomocí Dynamics Finance and Operations | Důležité |
| CVE-2021-31936 | Microsoft Accessibility Insights pro chybu zabezpečení týkající se zpřístupnění webových informací | Důležité |
| CVE-2021-31182 | Chyba zabezpečení Microsoft Bluetooth spoofing | Důležité |
| CVE-2021-31174 | Chyba zabezpečení zpřístupnění informací v aplikaci Microsoft Excel | Důležité |
| CVE-2021-31195 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Důležité |
| CVE-2021-31198 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Důležité |
| CVE-2021-31209 | Chyba zabezpečení Microsoft Exchange Server Spoofing | Důležité |
| CVE-2021-28455 | Chyba zabezpečení serveru Microsoft Jet Red Database Engine a modulu Access Connectivity Remote Code Execution | Důležité |
| CVE-2021-31180 | Zranitelnost vzdáleného spuštění kódu pomocí grafiky Microsoft Office | Důležité |
| CVE-2021-31178 | Chyba zabezpečení týkající se zpřístupnění informací Microsoft Office | Důležité |
| CVE-2021-31175 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-31176 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-31177 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-31179 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-31171 | Chyba zabezpečení týkající se zpřístupnění informací Microsoft SharePoint | Důležité |
| CVE-2021-31181 | Zranitelnost vzdáleného spuštění kódu Microsoft SharePoint | Důležité |
| CVE-2021-31173 | Chyba zabezpečení týkající se zpřístupnění informací serveru Microsoft SharePoint Server | Důležité |
| CVE-2021-28474 | Zranitelnost vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Důležité |
| CVE-2021-26418 | Chyba zabezpečení Microsoft SharePoint Spoofing | Důležité |
| CVE-2021-28478 | Chyba zabezpečení Microsoft SharePoint Spoofing | Důležité |
| CVE-2021-31172 | Chyba zabezpečení Microsoft SharePoint Spoofing | Důležité |
| CVE-2021-31184 | Chyba zabezpečení týkající se zpřístupnění informací Microsoft Windows Infrared Data Association (IrDA) | Důležité |
| CVE-2021-26422 | Zranitelnost vzdáleného spuštění kódu Skype pro firmy a Lync | Důležité |
| CVE-2021-26421 | Chyba zabezpečení Skype for Business a Lync Spoofing | Důležité |
| CVE-2021-31214 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-31211 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code Remote Development Extension | Důležité |
| CVE-2021-31213 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code Remote Development Extension | Důležité |
| CVE-2021-27068 | Zranitelnost vzdáleného spuštění kódu sady Visual Studio | Důležité |
| CVE-2021-28465 | Chyba zabezpečení týkající se vzdáleného spuštění kódu pomocí webových rozšíření | Důležité |
| CVE-2021-31190 | Zranitelnost ovladače filtru filtru FS systému Windows, zvýšení úrovně oprávnění | Důležité |
| CVE-2021-31165 | Zranitelnost služby Windows Container Manager Elevation of Privilege | Důležité |
| CVE-2021-31167 | Zranitelnost služby Windows Container Manager Elevation of Privilege | Důležité |
| CVE-2021-31168 | Zranitelnost služby Windows Container Manager Elevation of Privilege | Důležité |
| CVE-2021-31169 | Zranitelnost služby Windows Container Manager Elevation of Privilege | Důležité |
| CVE-2021-31208 | Zranitelnost služby Windows Container Manager Elevation of Privilege | Důležité |
| CVE-2021-28479 | Chyba zabezpečení týkající se zpřístupnění informací o službě Windows CSC | Důležité |
| CVE-2021-31185 | Chyba zabezpečení typu Desktop Desktop Bridge týkající se odmítnutí služby | Důležité |
| CVE-2021-31170 | Zranitelnost privilegovaných komponent Windows Graphics Component | Důležité |
| CVE-2021-31188 | Zranitelnost privilegovaných komponent Windows Graphics Component | Důležité |
| CVE-2021-31192 | Chyba zabezpečení týkající se vzdáleného spuštění kódu Windows Media Foundation Core | Důležité |
| CVE-2021-31191 | Chyba zabezpečení týkající se zpřístupnění informací o filtru filtru FS systému Windows | Důležité |
| CVE-2021-31186 | Chyba zabezpečení týkající se zpřístupnění informací protokolu Windows Remote Desktop Protocol (RDP) | Důležité |
| CVE-2021-31205 | Funkce zabezpečení klienta SMB v systému Windows obchází zranitelnost | Důležité |
| CVE-2021-31193 | Zranitelnost služby SSDP ve službě Windows | Důležité |
| CVE-2021-31187 | Chyba zabezpečení služby Wallet ve Windows | Důležité |
| CVE-2020-24587 | Chyba zabezpečení týkající se zpřístupnění informací o bezdrátových sítích Windows | Důležité |
| CVE-2020-24588 | Chyba zabezpečení spočívající v spoofingu bezdrátových sítí Windows | Důležité |
| CVE-2020-26144 | Chyba zabezpečení spočívající v spoofingu bezdrátových sítí Windows | Důležité |
To znamená, že uzavřeme přehled přehledu CVE z tohoto měsíce a doporučujeme každému pomocí kteréhokoli z ovlivněných produktů Adobe nebo Microsoft použijte nejnovější aktualizace Patch Tuesday co nejdříve možný.
Na druhou stranu se uživatelé mohli vždy pokusit antivirové programy třetích stran pomáhají při zabezpečení, protože fungují stejně dobře, ne-li lépe, než aktualizace počítače.
Dejte nám vědět, co si myslíte o zprávě CVE za tento měsíc, a zanechte nám svůj názor v sekci komentářů níže.
