- Podle zpráv, které byly dodány s tímto Patch Tuesday, bylo identifikováno 97 různých CVE.
- 89 ovlivnilo produkty společnosti Microsoft, zatímco pouze 8 ovlivnilo produkty společnosti Adobe.
- Zatímco některé CVE byly skutečně hodnoceny jako kritické, většina z nich byla hodnocena jako důležitá.
- Přečtěte si více o tom, co každý CVE ovlivňuje a jak se projevuje.
Digitální svět je v neustálém závodě ve zbrojení mezi softwarem, malwarem a nástroji používanými k ochraně před malwarem.
Nyní bylo uzavřeno další kolo této války, když March Patch Tuesday aktualizace jsou zde, protože se objevily nové zprávy o objevených CVE.
Rok 2021 byl dosud v CVE poměrně hojný a každý měsíc byla objevena následující čísla:
- Leden: 91
- Únor: 106
Zdá se, že i měsíc březen je poměrně hojný, s 97 objevenými CVE, o kterých se budeme podrobněji bavit v následujícím článku:
Březnová zpráva o CVE obsahuje 97 identifikovaných CVE
Zranitelnosti nalezené v produktech Adobe
Z 97 CVE nalezených tento měsíc pouze 8 patřilo programům Adobe, přesněji Adobe Connect, Creative Cloud Desktop a Framemaker.
Z 8 identifikovaných CVE byly 4 hodnoceny jako Kritický zatímco ostatní 4 byli hodnoceni jako Důležité.
Chyby zabezpečení nalezené v produktech společnosti Microsoft
Jako vždy, produkty společnosti Microsoft obsahují většinu identifikovaných CVE, přičemž 89 jich bylo nalezeno pouze tento měsíc.
Tyto životopisy ovlivnily více služeb Microsoftu, včetně komponent Microsoft Windows, Azure a Azure DevOps, Azure Sphere, Internet Explorer a Edge (EdgeHTML), Exchange Server, Office a dalších.
4 z těchto zranitelností byly považovány za aktivně napadené, takže před pravidelným plánem Patch Tuesday byla vydána menší oprava, která je ihned opraví.
Z těchto 89 chyb byly hodnoceny následovně:
- 14 jsou uvedeny jako Kritický
- 75 jsou uvedeny jako Důležité v závažnosti.
Které byly některé z nejzávažnějších CVE?
Zatímco všechny CVE by měly být považovány za pozoruhodné, byly některé, které vynikly kvůli jejich závažnosti nebo způsobu, jakým se chovaly:
-
CVE-2021-26897
- Zranitelnost vzdáleného spuštění kódu serveru Windows DNS
-
CVE-2021-26867
- Zranitelnost vzdáleného spuštění kódu Windows Hyper-V
-
CVE-2021-27076
- Zranitelnost vzdáleného spuštění kódu serveru Microsoft SharePoint Server
-
CVE-2021-26411
- Chyba zabezpečení týkající se poškození paměti aplikace Internet Explorer
Všechny ostatní identifikované CVE jsou uvedeny v tabulce níže:
CVE |
Titul |
Vážnost |
| CVE-2021-26411 | Chyba zabezpečení týkající se poškození paměti aplikace Internet Explorer | Kritický |
| CVE-2021-26855 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-26857 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-27065 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-26858 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Důležité |
| CVE-2021-27077 | Zranitelnost oprávnění systému Windows Win32k | Důležité |
| CVE-2021-27074 | Zranitelnost spuštění kódu Azure Sphere | Kritický |
| CVE-2021-27080 | Zranitelnost spuštění kódu Azure Sphere | Kritický |
| CVE-2021-21300 | Chyba zabezpečení Git pro vzdálené spuštění kódu sady Visual Studio | Kritický |
| CVE-2021-24089 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Kritický |
| CVE-2021-26902 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Kritický |
| CVE-2021-27061 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Kritický |
| CVE-2021-26412 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Kritický |
| CVE-2021-26876 | Zranitelnost vzdáleného spuštění kódu při analýze písma OpenType | Kritický |
| CVE-2021-26897 | Zranitelnost vzdáleného spuštění kódu serveru Windows DNS | Kritický |
| CVE-2021-26867 | Zranitelnost vzdáleného spuštění kódu Windows Hyper-V | Kritický |
| CVE-2021-26890 | Zranitelnost vzdáleného spuštění kódu virtualizace aplikací | Důležité |
| CVE-2021-27075 | Chyba zabezpečení zpřístupnění informací o virtuálním počítači Azure | Důležité |
| CVE-2021-24095 | Zranitelnost oprávnění Privilege DirectX | Důležité |
| CVE-2021-24110 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27047 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27048 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27049 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27050 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27051 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27062 | Zranitelnost vzdáleného spuštění kódu pomocí rozšíření videa HEVC | Důležité |
| CVE-2021-27085 | Chyba zabezpečení týkající se vzdáleného spuštění kódu aplikace Internet Explorer | Důležité |
| CVE-2021-27053 | Chyba zabezpečení týkající se vzdáleného spuštění kódu v aplikaci Microsoft Excel | Důležité |
| CVE-2021-27054 | Chyba zabezpečení týkající se vzdáleného spuštění kódu v aplikaci Microsoft Excel | Důležité |
| CVE-2021-26854 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Důležité |
| CVE-2021-27078 | Zranitelnost vzdáleného spuštění kódu Microsoft Exchange Server | Důležité |
| CVE-2021-27058 | Zranitelnost vzdáleného spuštění kódu Microsoft Office ClickToRun | Důležité |
| CVE-2021-24108 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-27057 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-27059 | Chyba zabezpečení produktu Microsoft Office Remote Code Execution | Důležité |
| CVE-2021-26859 | Chyba zabezpečení zpřístupnění informací Microsoft Power BI | Důležité |
| CVE-2021-27056 | Zranitelnost vzdáleného spuštění kódu Microsoft PowerPoint | Důležité |
| CVE-2021-27052 | Chyba zabezpečení týkající se zpřístupnění informací serveru Microsoft SharePoint Server | Důležité |
| CVE-2021-27076 | Zranitelnost vzdáleného spuštění kódu serveru Microsoft SharePoint Server | Důležité |
| CVE-2021-24104 | Chyba zabezpečení Microsoft SharePoint Spoofing | Důležité |
| CVE-2021-27055 | Funkce zabezpečení aplikace Microsoft Visio obchází chybu zabezpečení | Důležité |
| CVE-2021-26887 | Chyba zabezpečení přesměrování složek systému Microsoft Windows | Důležité |
| CVE-2021-26881 | Chyba zabezpečení týkající se vzdáleného spuštění kódu Microsoft Windows Media Foundation | Důležité |
| CVE-2021-27082 | Chyba zabezpečení aplikace Quantum Development Kit pro vzdálené spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-26882 | Zranitelnost oprávnění privilegovaného přístupu pomocí API pro vzdálený přístup | Důležité |
| CVE-2021-27083 | Rozšíření pro vzdálený vývoj pro Visual Studio Code Chyba vzdáleného spuštění kódu | Důležité |
| CVE-2021-26880 | Zranitelnost řadiče úložných prostorů - zvýšení úrovně zabezpečení | Důležité |
| CVE-2021-26886 | Zranitelnost služby odmítnutí služby uživatelem služby profilu | Důležité |
| CVE-2021-27081 | Chyba zabezpečení produktu Visual Studio Code ESLint Extension Remote Code Execution | Důležité |
| CVE-2021-27084 | Zranitelnost vzdáleného spuštění kódu pomocí sady Visual Studio Code Java Extension Pack | Důležité |
| CVE-2021-27060 | Zranitelnost vzdáleného spuštění kódu Visual Studio Code | Důležité |
| CVE-2021-27070 | Windows 10 Update Assistant - zvýšení úrovně zabezpečení Privilege | Důležité |
| CVE-2021-26869 | Chyba zabezpečení týkající se zpřístupnění informací o instalačním programu Windows ActiveX | Důležité |
| CVE-2021-27066 | Funkce zabezpečení systému Windows Admin Center obchází chybu zabezpečení | Důležité |
| CVE-2021-26860 | Zranitelnost filtru překryvných vrstev systému Windows App-V | Důležité |
| CVE-2021-26865 | Zvýšení úrovně zabezpečení oprávnění agenta Windows Container Execution Agent | Důležité |
| CVE-2021-26891 | Zvýšení úrovně zabezpečení oprávnění agenta Windows Container Execution Agent | Důležité |
| CVE-2021-26896 | Chyba zabezpečení týkající se odmítnutí služby Windows DNS Server | Důležité |
| CVE-2021-27063 | Chyba zabezpečení týkající se odmítnutí služby Windows DNS Server | Důležité |
| CVE-2021-26877 | Zranitelnost vzdáleného spuštění kódu serveru Windows DNS | Důležité |
| CVE-2021-26893 | Zranitelnost vzdáleného spuštění kódu serveru Windows DNS | Důležité |
| CVE-2021-26894 | Zranitelnost vzdáleného spuštění kódu serveru Windows DNS | Důležité |
| CVE-2021-26895 | Zranitelnost vzdáleného spuštění kódu serveru Windows DNS | Důležité |
| CVE-2021-24090 | Hlášení chyby zabezpečení systému Windows týkající se hlášení chyb | Důležité |
| CVE-2021-26872 | Sledování událostí systému Windows Zvýšení úrovně zranitelnosti oprávnění | Důležité |
| CVE-2021-26898 | Sledování událostí systému Windows Zvýšení úrovně zranitelnosti oprávnění | Důležité |
| CVE-2021-26901 | Sledování událostí systému Windows Zvýšení úrovně zranitelnosti oprávnění | Důležité |
| CVE-2021-24107 | Zranitelnost zveřejňování informací o sledování událostí Windows | Důležité |
| CVE-2021-26892 | Funkce zabezpečení rozšiřitelného firmwaru systému Windows Vynechat chybu zabezpečení | Důležité |
| CVE-2021-26868 | Zranitelnost privilegovaných komponent Windows Graphics Component | Důležité |
| CVE-2021-26861 | Zranitelnost vzdáleného spuštění kódu Windows Graphics Component | Důležité |
| CVE-2021-26862 | Chyba zabezpečení instalačního programu systému Windows | Důležité |
| CVE-2021-26884 | Zranitelnost zveřejnění informací o kodeku Windows Media Photo | Důležité |
| CVE-2021-26879 | Zranitelnost odmítnutí služby Windows NAT | Důležité |
| CVE-2021-26874 | Zranitelnost filtru překryvného okna systému Windows | Důležité |
| CVE-2021-1640 | Chyba zabezpečení zařazování tisku v systému Windows | Důležité |
| CVE-2021-26878 | Chyba zabezpečení zařazování tisku v systému Windows | Důležité |
| CVE-2021-26870 | Zranitelnost oprávnění systému Windows u projektovaného systému souborů | Důležité |
| CVE-2021-26866 | Zvýšení zabezpečení služby Windows Update Service | Důležité |
| CVE-2021-26889 | Zvýšení úrovně zabezpečení oprávnění služby Windows Update Stack | Důležité |
| CVE-2021-1729 | Zvýšení úrovně zabezpečení oprávnění služby Windows Update Stack | Důležité |
| CVE-2021-26899 | Zvýšení úrovně zabezpečení oprávnění hostitele zařízení Windows UPnP | Důležité |
| CVE-2021-26873 | Služba zabezpečení profilu uživatele systému Windows Zvýšení úrovně zabezpečení oprávnění | Důležité |
| CVE-2021-26864 | Poskytovatel virtuálního registru Windows Zvýšení úrovně zabezpečení privilegia | Důležité |
| CVE-2021-26871 | Chyba zabezpečení služby Wallet ve Windows | Důležité |
| CVE-2021-26885 | Chyba zabezpečení služby Wallet ve Windows | Důležité |
| CVE-2021-26863 | Zranitelnost oprávnění systému Windows Win32k | Důležité |
| CVE-2021-26875 | Zranitelnost oprávnění systému Windows Win32k | Důležité |
| CVE-2021-26900 | Zranitelnost oprávnění systému Windows Win32k | Důležité |
Leden a únor 2021 již začaly vzestupným trendem, pokud jde o počet CVE, ale zdá se, že březen pro změnu přinesl méně.
Pamatujte, že pokud používáte některý z výše uvedených produktů a služeb společnosti Microsoft nebo Adobe, máte vyšší postavení riziko kvůli výše uvedeným zranitelnostem, takže si nezapomeňte stáhnout a nainstalovat nejnovější Patch Tuesday aktualizace.
Mohlo by také pomoci použít antivirové nástroje třetích stran, ale to znamená, že utratíte nějaké další, zatímco aktualizace Patch Tuesday jsou a vždy budou zdarma.
Jaký je váš názor na přehled CVE za tento měsíc?
Dejte nám vědět, zda by se CVE měly zajímat o širokou veřejnost, a nechte nám zpětnou vazbu v sekci komentáře níže.
