- CVE'er står forAlmindelige sårbarheder og eksponeringer, og de varierer i form, og hvad de påvirker.
- Under patch-tirsdag frigives en rapport over alle CVE'er til offentligheden.
- CVE'er vurderes baseret på sværhedsgrad, fra Vigtigt til de mere seriøse, der er klassificeret som kritiske.
- Læs mere om denne måneds CVE'er, og opdater om nødvendigt din pc.
Vi ved alle, at opdateringen af Patch Tuesday er forbedringen af Windows-oplevelsen for brugere, men de handler ikke kun om tilføjelse, forbedring og reparation af funktioner.
Et andet nøgleaspekt ved disse opdateringer er dog de sikkerhedsforbedringer, der følger med dem, og det er stort set hvorfor vi anbefaler, at alle får disse opdateringer, så snart de bliver tilgængelige i din område.
Nå, den 11. maj er her, og det samme er opdateringerne til patch-tirsdag, og det betyder, at CVE-rapporterne også er her.
Indtil videre har 2021 været meget rigeligt i CVE'er, hvor følgende numre blev opdaget hver måned:
- Januar: 91
- Februar: 106
- Marts: 97
- April: 124
Alt i alt er her en kort gennemgang af denne måneds CVE-situation for både Adobe og Microsoft-relaterede produkter, og vi vil også fremhæve nogle af de mere alvorlige, der er opdaget.
CVE-rapporten fra maj inkluderer 98 identificerede CVE'er
Sårbarheder findes i Adobe-produkter
Adobe har frigivet i alt 12 patches, der er beregnet til at rette 43 identificerede CVE'er, der påvirkede Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat og Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium og Animer.
Af de 43 samlede Adobe CVE'er målrettede 14 Adobe Acrobat Reader, hvoraf den ene stadig er uløst, og de kan bruges til at udnytte brugerdata via ændrede PDF-filer, der er åbnet i Acrobat.
Sårbarheder findes i Microsoft-produkter
Hovedparten af denne måneds CVE-rapport er som altid de Microsoft-relaterede CVE'er, og de udgør i alt 55.
Disse CVE'er er rettet mod Microsoft Windows, .NET Core og Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, Open Source Software, Hyper-V, Skype for Business og Microsoft Lync og Exchange Server.
For så vidt angår sværhedsgraden af disse 55 bugs, blev de bedømt som følger:
- 4 er klassificeret som Kritisk
- 50 er klassificeret Vigtig
- Den ene er bedømt Moderat i sværhedsgrad.
Hvilke var nogle af de mest alvorlige CVE'er?
Nogle CVE'er skiller sig ud i denne rapport, enten på grund af hvor let de var at udnytte, eller populariteten af det program, der var målrettet mod, og de er følgende:
-
CVE-2021-31166
- HTTP-protokolstabel Sårbarhed i forbindelse med fjernudførelse af kode
-
CVE-2021-28476
- Sårbarhed ved udførelse af Hyper-V-kodeudførelse
-
CVE-2021-27068
- Sårbarhed i Visual Studio Remote Code Execution
-
CVE-2020-24587
- Sårbarhed med oplysninger om afsløring af oplysninger om Windows trådløst netværk
Her er en komplet liste over alle CVE'er, der er inkluderet i denne måneds rapport:
CVE |
Titel |
Alvorlighed |
| CVE-2021-31204 | .NET Core og Visual Studio Sårbarhed i privilegier | Vigtig |
| CVE-2021-31200 | Almindelige hjælpeprogrammer Sårbarhed ved fjernudførelse af kode | Vigtig |
| CVE-2021-31207 | Microsoft Exchange Server-sikkerhedsfunktion Bypass-sårbarhed | Moderat |
| CVE-2021-31166 | HTTP-protokolstabel Sårbarhed i forbindelse med fjernudførelse af kode | Kritisk |
| CVE-2021-28476 | Sårbarhed ved udførelse af Hyper-V-kodeudførelse | Kritisk |
| CVE-2021-31194 | OLE Automation Remote Code Execution Sårbarhed | Kritisk |
| CVE-2021-26419 | Sårbarhed ved beskadigelse af hukommelseskriptmotor | Kritisk |
| CVE-2021-28461 | Sårbarhed i Dynamics Finance and Operations Scripting på tværs af websteder | Vigtig |
| CVE-2021-31936 | Microsofts tilgængelighedsindsigt til udsættelse af offentliggørelse af webinformation | Vigtig |
| CVE-2021-31182 | Sårbarhed ved Microsoft Bluetooth Driver Spoofing | Vigtig |
| CVE-2021-31174 | Sårbarhed i Microsoft Excel-oplysninger | Vigtig |
| CVE-2021-31195 | Sårbarhed i forbindelse med ekstern udførelse af kode i Microsoft Exchange Server | Vigtig |
| CVE-2021-31198 | Sårbarhed i forbindelse med ekstern udførelse af kode i Microsoft Exchange Server | Vigtig |
| CVE-2021-31209 | Sårbarhed i forbindelse med Microsoft Exchange Server Spoofing | Vigtig |
| CVE-2021-28455 | Microsoft Jet Red Database Engine og Access Connectivity Engine Remote Code Execution Sårbarhed | Vigtig |
| CVE-2021-31180 | Sårbarhed i forbindelse med fjernbetjening af kode i Microsoft Office-grafik | Vigtig |
| CVE-2021-31178 | Sårbarhed i Microsoft Office-oplysninger | Vigtig |
| CVE-2021-31175 | Sårbarhed i Microsoft Office Remote Code Execution | Vigtig |
| CVE-2021-31176 | Sårbarhed i Microsoft Office Remote Code Execution | Vigtig |
| CVE-2021-31177 | Sårbarhed i Microsoft Office Remote Code Execution | Vigtig |
| CVE-2021-31179 | Sårbarhed i Microsoft Office Remote Code Execution | Vigtig |
| CVE-2021-31171 | Sårbarhed i Microsoft SharePoint-oplysninger | Vigtig |
| CVE-2021-31181 | Sårbarhed i Microsoft SharePoint Remote Code Execution | Vigtig |
| CVE-2021-31173 | Sårbarhed i Microsoft SharePoint Server-information | Vigtig |
| CVE-2021-28474 | Sårbarhed i Microsoft SharePoint Server Remote Code Execution | Vigtig |
| CVE-2021-26418 | Sårbarhed i Microsoft SharePoint Spoofing | Vigtig |
| CVE-2021-28478 | Sårbarhed i Microsoft SharePoint Spoofing | Vigtig |
| CVE-2021-31172 | Sårbarhed i Microsoft SharePoint Spoofing | Vigtig |
| CVE-2021-31184 | Microsoft Windows Infrared Data Association (IrDA) informationsudbrudssårbarhed | Vigtig |
| CVE-2021-26422 | Sårbarhed ved Skype for Business og Lync Remote Code Execution | Vigtig |
| CVE-2021-26421 | Sårbarhed i Skype for Business og Lync Spoofing | Vigtig |
| CVE-2021-31214 | Sårbarhed i Visual Studio-kode ekstern udførelse af kode | Vigtig |
| CVE-2021-31211 | Visual Studio-kode Sårbarhed i forbindelse med fjernudvikling af ekstern ekstern udførelse af kode | Vigtig |
| CVE-2021-31213 | Visual Studio-kode Sårbarhed i forbindelse med fjernudvikling af ekstern ekstern udførelse af kode | Vigtig |
| CVE-2021-27068 | Sårbarhed i Visual Studio Remote Code Execution | Vigtig |
| CVE-2021-28465 | Webmedieudvidelser Sårbarhed med fjernudførelse af kode | Vigtig |
| CVE-2021-31190 | Windows Container Isolation FS Filter Driver Udvidelse af privilegiumsårbarhed | Vigtig |
| CVE-2021-31165 | Windows Container Manager Service Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31167 | Windows Container Manager Service Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31168 | Windows Container Manager Service Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31169 | Windows Container Manager Service Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31208 | Windows Container Manager Service Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-28479 | Sårbarhed ved offentliggørelse af Windows CSC-serviceoplysninger | Vigtig |
| CVE-2021-31185 | Sårbarhed i Windows Desktop Bridge Denial of Service | Vigtig |
| CVE-2021-31170 | Windows-grafikkomponent Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31188 | Windows-grafikkomponent Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2021-31192 | Sårbarhed i Windows Media Foundation Core Remote Exekvering af kode | Vigtig |
| CVE-2021-31191 | Windows-projiceret filsystem FS-sårbarhed med oplysninger om afsløring af informationsfilter | Vigtig |
| CVE-2021-31186 | Sårbarhed ved afsløring af oplysninger om Windows Remote Desktop Protocol (RDP) | Vigtig |
| CVE-2021-31205 | Windows SMB Client Security Feature Bypass Sårbarhed | Vigtig |
| CVE-2021-31193 | Windows SSDP-service Sårbarhed i privilegier | Vigtig |
| CVE-2021-31187 | Windows WalletService Udvidelse af sårbarhed i privilegier | Vigtig |
| CVE-2020-24587 | Sårbarhed med oplysninger om afsløring af oplysninger om Windows trådløst netværk | Vigtig |
| CVE-2020-24588 | Sårbarhed i Windows Trådløst netværk Spoofing | Vigtig |
| CVE-2020-26144 | Sårbarhed i Windows Trådløst netværk Spoofing | Vigtig |
Når det er sagt, vil vi afslutte vores oversigt over denne måneds CVE-rapport, og vi anbefaler alle ved hjælp af et af de berørte Adobe- eller Microsoft-produkter anvender de seneste opdateringer til Patch Tuesday så snart muligt.
På den anden side kunne brugerne altid prøve tredjeparts antivirus for at hjælpe med sikkerhed, da de fungerer lige så godt, hvis ikke bedre, end at opdatere din pc.
Fortæl os, hvad du synes om denne måneds CVE-rapport, ved at give os din feedback i kommentarfeltet nedenfor.
