- Jste připraveni na zbrusu novou dávku důležitých aktualizací softwaru?
- Microsoft je vydá dnes, jako součást Patch Tuesday.
- Můžete dohnat, co technický gigant předvedl v předchozích měsících.
- Zjistěte také, co můžeme v září očekávat od společnosti Redmond.
Září je tu a s ním přichází i další dávka aktualizací Patch Tuesday, na které mnoho uživatelů netrpělivě čekalo.
Stejně jako všechny ostatní aktualizace Patch Tuesday z předchozích měsíců přináší i tyto řadu změn, oprav a vylepšení všech podporovaných verzí operačního systému Windows.
Microsoft ve středu oznámil přítomnost CVE-2021-40444, což je chyba zabezpečení, která je hlášena jako veřejně zveřejněná a známá jako zneužitá.
Tato konkrétní chyba zabezpečení umožňuje vzdálené spuštění kódu pomocí MSHTML, což je součást používaná Internet Explorerem a Office.
Co můžeme očekávat od zářijového Patch Tuesday?
Pokud se chcete informovat o všem, co technologická společnost se sídlem v Redmondu dělá během těchto akcí Patch Tuesday, určitě si pamatujete dávku z minulého měsíce.
Microsoft, pod tlakem vážných obav o bezpečnost, vydal obrovské množství bezpečnostních oprav, které měly vyřešit některé exploity, které se děly ve volné přírodě.
Redmondští úředníci zahrnuli podrobné řešení, jak zakázat instalaci všech ovládacích prvků ActiveX v aplikaci Internet Explorer, což tento útok zmírní.
Sledujte aktualizaci, která řeší tuto chybu zabezpečení, jinak budete muset zvážit toto zmírnění, abyste problém vyřešili v krátkodobém horizontu, dokud nebude vydána oprava. Skóre CVSS 3.0 je 8,8.
Zranitelnosti nulového dne, které společnost Microsoft sledovala jako aktivně využívané, byly v srpnu 2021 opraveny následovně:
| Štítek | ID CVE | Název CVE | Vážnost |
|---|---|---|---|
| .NET Core a Visual Studio | CVE-2021-34485 | Zranitelnost zpřístupnění informací .NET Core a Visual Studio | Důležité |
| .NET Core a Visual Studio | CVE-2021-26423 | .NET Core a chyba zabezpečení odmítnutí služby Visual Studio | Důležité |
| ASP.NET Core a Visual Studio | CVE-2021-34532 | Chyba zabezpečení zveřejňování informací ASP.NET Core a Visual Studio | Důležité |
| Blankyt | CVE-2021-36943 | Zranitelnost zvýšení úrovně oprávnění Azure CycleCloud | Důležité |
| Blankyt | CVE-2021-33762 | Zranitelnost zvýšení úrovně oprávnění Azure CycleCloud | Důležité |
| Azure Sphere | CVE-2021-26428 | Zranitelnost zpřístupnění informací Azure Sphere | Důležité |
| Azure Sphere | CVE-2021-26430 | Zranitelnost odmítnutí služby Azure Sphere | Důležité |
| Azure Sphere | CVE-2021-26429 | Zranitelnost nadmořské výšky Azure Sphere | Důležité |
| Microsoft Azure Active Directory Connect | CVE-2021-36949 | Chyba zabezpečení Microsoft Azure Active Directory Connect Authentication Bypass | Důležité |
| Microsoft Dynamics | CVE-2021-36946 | Chyba zabezpečení skriptování mezi weby Microsoft Dynamics Business Central | Důležité |
| Microsoft Dynamics | CVE-2021-36950 | Chyba zabezpečení skriptování mezi weby Microsoft Dynamics 365 (místní) | Důležité |
| Microsoft Dynamics | CVE-2021-34524 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Dynamics 365 (místní) | Důležité |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30591 | Chromium: CVE-2021-30591 Použijte zdarma v API systému souborů | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30592 | Chromium: CVE-2021-30592 Mimo hranice zapisujte do skupin karet | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30597 | Chromium: CVE-2021-30597 Použijte zdarma v uživatelském rozhraní prohlížeče | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30594 | Chromium: CVE-2021-30594 Použijte zdarma v uživatelském rozhraní Informace o stránce | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30596 | Chromium: CVE-2021-30596 Nesprávné uživatelské rozhraní zabezpečení v navigaci | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30590 | Chromium: CVE-2021-30590 Přetečení haldy vyrovnávací paměti v záložkách | Neznámý |
| Microsoft Edge (na bázi Chromium) | CVE-2021-30593 | Chromium: CVE-2021-30593 Mimo hranice přečteno v pásu karet | Neznámý |
| Microsoft Graphics Component | CVE-2021-34530 | Chyba zabezpečení vzdáleného spuštění kódu součásti Windows Graphics | Kritické |
| Microsoft Graphics Component | CVE-2021-34533 | Chyba zabezpečení vzdálené analýzy kódu grafické součásti systému Windows | Důležité |
| Microsoft Office | CVE-2021-34478 | Chyba zabezpečení vzdáleného spuštění kódu Microsoft Office | Důležité |
| Microsoft Office SharePoint | CVE-2021-36940 | Chyba zabezpečení týkající se falšování serveru Microsoft SharePoint | Důležité |
| Microsoft Office Word | CVE-2021-36941 | Chyba zabezpečení vzdáleného spuštění kódu aplikace Microsoft Word | Důležité |
| Microsoft Scripting Engine | CVE-2021-34480 | Chyba zabezpečení týkající se poškození paměti skriptovacího stroje | Kritické |
| Knihovna kodeků Microsoft Windows | CVE-2021-36937 | Zranitelnost vzdáleného spuštění kódu Windows Media MPEG-4 Video Decoder | Důležité |
| Klient vzdálené plochy | CVE-2021-34535 | Chyba zabezpečení vzdáleného spuštění klienta vzdálené plochy | Kritické |
| Služba Windows Bluetooth | CVE-2021-34537 | Windows Ovladač Bluetooth Zvýšení zranitelnosti oprávnění | Důležité |
| Kryptografické služby Windows | CVE-2021-36938 | Zranitelnost zpřístupnění informací o knihovně Windows Cryptographic Primitive | Důležité |
| Windows Defender | CVE-2021-34471 | Zranitelnost Elevation of Privilege v programu Microsoft Windows Defender | Důležité |
| Sledování událostí systému Windows | CVE-2021-34486 | Windows Event Tracing Zvýšení zranitelnosti oprávnění | Důležité |
| Sledování událostí systému Windows | CVE-2021-34487 | Windows Event Tracing Zvýšení zranitelnosti oprávnění | Důležité |
| Sledování událostí systému Windows | CVE-2021-26425 | Windows Event Tracing Zvýšení zranitelnosti oprávnění | Důležité |
| Windows Media | CVE-2021-36927 | Registrační aplikace zařízení Windows Digital TV Tuner Zvýšení zranitelnosti oprávnění | Důležité |
| Platforma Windows MSHTML | CVE-2021-34534 | Chyba zabezpečení vzdáleného spouštění kódu platformy Windows MSHTML | Kritické |
| Windows NTLM | CVE-2021-36942 | Zranitelnost falšování Windows LSA | Důležité |
| Součásti zařazování Windows Print | CVE-2021-34483 | Windows Print Spooler Zvýšení zranitelnosti oprávnění | Důležité |
| Součásti zařazování Windows Print | CVE-2021-36947 | Zranitelnost vzdáleného spuštění kódu Windows Print Spooler | Důležité |
| Součásti zařazování Windows Print | CVE-2021-36936 | Zranitelnost vzdáleného spuštění kódu Windows Print Spooler | Kritické |
| Služby Windows pro ovladač NFS ONCRPC XDR | CVE-2021-36933 | Služba Windows Services for NFS ONCRPC XDR Zveřejnění informací o ovladači | Důležité |
| Služby Windows pro ovladač NFS ONCRPC XDR | CVE-2021-26433 | Služba Windows Services for NFS ONCRPC XDR Zveřejnění informací o ovladači | Důležité |
| Služby Windows pro ovladač NFS ONCRPC XDR | CVE-2021-36932 | Služba Windows Services for NFS ONCRPC XDR Zveřejnění informací o ovladači | Důležité |
| Služby Windows pro ovladač NFS ONCRPC XDR | CVE-2021-26432 | Služba Windows Services for NFS ONCRPC XDR Driver Remote Execution Code Execution | Kritické |
| Služby Windows pro ovladač NFS ONCRPC XDR | CVE-2021-36926 | Služba Windows Services for NFS ONCRPC XDR Zveřejnění informací o ovladači | Důležité |
| Windows Storage Spaces Controller | CVE-2021-34536 | Řadič úložných prostorů Zvýšení zranitelnosti oprávnění | Důležité |
| Windows TCP/IP | CVE-2021-26424 | Chyba zabezpečení vzdáleného spuštění kódu Windows TCP/IP | Kritické |
| Windows Update | CVE-2021-36948 | Windows Update Medic Service Zvýšení zranitelnosti oprávnění | Důležité |
| Windows Update Assistant | CVE-2021-36945 | Windows 10 Update Assistant Zvýšení zranitelnosti oprávnění | Důležité |
| Windows Update Assistant | CVE-2021-26431 | Windows Recovery Environment Agent Zvýšení zranitelnosti oprávnění | Důležité |
| Služba profilu uživatele systému Windows | CVE-2021-34484 | Služba Windows User Profile Service Zvýšení zranitelnosti oprávnění | Důležité |
| Služba profilu uživatele systému Windows | CVE-2021-26426 | Profil uživatelského účtu Windows Obrázek Zvýšení zranitelnosti oprávnění | Důležité |
Tento měsíc však můžeme očekávat omezený počet CVE adresovaných napříč všemi operačními systémy, jelikož se Microsoft vrací z posledních letních prázdnin.
Nyní jsme za polovinou bodu pro rozšířené aktualizace zabezpečení (ESU) pro Windows 7 a Server 2008/2008 R2, takže každý, kdo provozuje tyto operační systémy, by měl pracovat na schématu upgradu.
S oznámením CVE-2021-40444 bychom se určitě měli dočkat aktualizace aplikace Internet Explorer.
Pokud jste přemýšleli o Adobe Acrobat a Reader, vězte, že budou aktualizovány, protože společnost Adobe poskytla poradce pro zabezpečení před zasvěcením APSB21-55.
To by tedy mělo být celkem snadné zářijové Patch Tuesday, ale užijte si to, dokud to trvá, protože tohle je vlastně klid před bouří.
Jak víme, aktualizace softwaru obvykle probíhají v říjnu a listopadu před koncem roku prázdniny a musíme také zohlednit přidání podpory pro vydání všech těchto nových operací systémy.
