- Τα CVE αντιπροσωπεύουνΚοινές ευπάθειες και ανοίγματα, και ποικίλλουν σε μορφή και τι επηρεάζουν.
- Κατά τη διάρκεια του Patch Tuesday, μια έκθεση όλων των CVE δημοσιεύεται στο ευρύ κοινό.
- Τα CVE βαθμολογούνται με βάση τη σοβαρότητα, από το Σημαντικό, έως τα πιο σοβαρά που χαρακτηρίζονται ως Κρίσιμα.
- Διαβάστε περισσότερα για τα CVE αυτού του μήνα και ενημερώστε τον υπολογιστή σας, εάν χρειάζεται.
Όλοι γνωρίζουμε ότι το επίκεντρο των ενημερώσεων Patch Tuesday είναι η βελτίωση της εμπειρίας των Windows για τους χρήστες, αλλά δεν αφορούν μόνο την προσθήκη, τη βελτίωση και τη διόρθωση λειτουργιών.
Ωστόσο, μια άλλη βασική πτυχή αυτών των ενημερώσεων είναι οι βελτιώσεις ασφαλείας που συνοδεύουν αυτές, και αυτό είναι Γιατί προτείνουμε σε όλους να λάβουν αυτές τις ενημερώσεις μόλις γίνουν διαθέσιμες στο δικό σας περιοχή.
Λοιπόν, η 11η Μαΐου είναι εδώ, όπως και οι ενημερώσεις του Patch Tuesday, και αυτό σημαίνει ότι και οι αναφορές CVE είναι εδώ.
Μέχρι στιγμής, το 2021 υπήρξε αρκετά άφθονο στα CVE, με τους ακόλουθους αριθμούς να ανακαλύπτονται κάθε μήνα:
- Ιανουάριος: 91
- Φεβρουάριος: 106
- Μάρτιος: 97
- Απρίλιος: 124
Συνολικά, εδώ είναι μια σύντομη περιγραφή της κατάστασης CVE αυτού του μήνα τόσο για προϊόντα που σχετίζονται με την Adobe όσο και για τη Microsoft και θα επισημάνουμε επίσης ορισμένα από τα πιο σοβαρά που εντοπίστηκαν.
Η έκθεση CVE του Μαΐου περιλαμβάνει 98 αναγνωρισμένα CVE
Ευπάθειες που βρέθηκαν σε προϊόντα Adobe
Η Adobe κυκλοφόρησε συνολικά 12 ενημερώσεις κώδικα που προορίζονται να διορθώσουν 43 αναγνωρισμένα CVE που επηρέασαν το Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat and Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium και Εμψυχος.
Από τα 43 συνολικά Adobe CVEs, 14 στοχεύουν το Adobe Acrobat Reader, ένα από τα οποία δεν έχει επιλυθεί ακόμη και μπορούν να χρησιμοποιηθούν για την εκμετάλλευση δεδομένων χρήστη μέσω τροποποιημένων PDF που έχουν ανοίξει στο Acrobat.
Βρέθηκαν ευπάθειες στα προϊόντα της Microsoft
Το μεγαλύτερο μέρος της αναφοράς CVE αυτού του μήνα, όπως πάντα, είναι τα CVE που σχετίζονται με τη Microsoft και προσθέτουν έως και 55 συνολικά.
Αυτά τα CVE στοχεύουν Microsoft Windows, .NET Core και Visual Studio, Internet Explorer (IE), Microsoft Office, Διακομιστής SharePoint, λογισμικό ανοιχτού κώδικα, Hyper-V, Skype για επιχειρήσεις και Microsoft Lync και Exchange Υπηρέτης.
Όσον αφορά τη σοβαρότητα αυτών των 55 σφαλμάτων, βαθμολογήθηκαν ως εξής:
- 4 βαθμολογούνται ως Κρίσιμος
- 50 βαθμολογούνται Σπουδαίος
- Ένα έχει βαθμολογηθεί Μέτριος σε σοβαρότητα.
Ποια ήταν μερικά από τα πιο σοβαρά CVE;
Ορισμένα CVE ξεχωρίζουν σε αυτήν την αναφορά είτε λόγω του πόσο εύκολα θα εκμεταλλευτούν είτε της δημοτικότητας του προγράμματος που στοχεύτηκε και είναι τα εξής:
-
CVE-2021-31166
- Ευπάθεια εκτέλεσης HTTP Protocol Stack Remote Code
-
CVE-2021-28476
- Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Hyper-V
-
CVE-2021-27068
- Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Visual Studio
-
CVE-2020-24587
- Ευπάθεια αποκάλυψης πληροφοριών ασύρματου δικτύου Windows
Ακολουθεί μια πλήρης λίστα με όλα τα CVE που περιλαμβάνονται στην αναφορά αυτού του μήνα:
CVE |
Τίτλος |
Αυστηρότητα |
| CVE-2021-31204 | .NET Core και Visual Studio Elevation of Privilege Vulnerability | Σπουδαίος |
| CVE-2021-31200 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Common Utilities | Σπουδαίος |
| CVE-2021-31207 | Δυνατότητα παράκαμψης δυνατότητας ασφαλείας διακομιστή Microsoft Exchange | Μέτριος |
| CVE-2021-31166 | Ευπάθεια εκτέλεσης HTTP Protocol Stack Remote Code | Κρίσιμος |
| CVE-2021-28476 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Hyper-V | Κρίσιμος |
| CVE-2021-31194 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα OLE Automation | Κρίσιμος |
| CVE-2021-26419 | Ένα θέμα ευπάθειας στη μνήμη της μηχανής δέσμης ενεργειών | Κρίσιμος |
| CVE-2021-28461 | Dynamics Finance and Operations Cross-site Scripting Vulnerability | Σπουδαίος |
| CVE-2021-31936 | Πληροφορίες προσβασιμότητας της Microsoft για ευπάθεια αποκάλυψης πληροφοριών στο Web | Σπουδαίος |
| CVE-2021-31182 | Ευπάθεια πλαστογράφησης προγράμματος οδήγησης Bluetooth της Microsoft | Σπουδαίος |
| CVE-2021-31174 | Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Excel | Σπουδαίος |
| CVE-2021-31195 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft Exchange Server | Σπουδαίος |
| CVE-2021-31198 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft Exchange Server | Σπουδαίος |
| CVE-2021-31209 | Ένα θέμα ευπάθειας στον Microsoft Exchange Server Spoofing | Σπουδαίος |
| CVE-2021-28455 | Κινητήρας βάσης δεδομένων Microsoft Jet Red και ευπάθεια εκτέλεσης απομακρυσμένου κώδικα κινητήρα σύνδεσης πρόσβασης | Σπουδαίος |
| CVE-2021-31180 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα γραφικών του Microsoft Office | Σπουδαίος |
| CVE-2021-31178 | Ευπάθεια αποκάλυψης πληροφοριών του Microsoft Office | Σπουδαίος |
| CVE-2021-31175 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Microsoft Office | Σπουδαίος |
| CVE-2021-31176 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Microsoft Office | Σπουδαίος |
| CVE-2021-31177 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Microsoft Office | Σπουδαίος |
| CVE-2021-31179 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Microsoft Office | Σπουδαίος |
| CVE-2021-31171 | Ευπάθεια αποκάλυψης πληροφοριών του Microsoft SharePoint | Σπουδαίος |
| CVE-2021-31181 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft SharePoint | Σπουδαίος |
| CVE-2021-31173 | Ευπάθεια αποκάλυψης πληροφοριών του Microsoft SharePoint Server | Σπουδαίος |
| CVE-2021-28474 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Microsoft SharePoint Server | Σπουδαίος |
| CVE-2021-26418 | Ένα θέμα ευπάθειας του Microsoft SharePoint Spoofing | Σπουδαίος |
| CVE-2021-28478 | Ένα θέμα ευπάθειας του Microsoft SharePoint Spoofing | Σπουδαίος |
| CVE-2021-31172 | Ένα θέμα ευπάθειας του Microsoft SharePoint Spoofing | Σπουδαίος |
| CVE-2021-31184 | Ευπάθεια αποκάλυψης πληροφοριών της Microsoft Windows Infrared Data Association (IrDA) | Σπουδαίος |
| CVE-2021-26422 | Skype για επιχειρήσεις και ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Lync | Σπουδαίος |
| CVE-2021-26421 | Skype για επιχειρήσεις και ευπάθεια Spoofing Lync | Σπουδαίος |
| CVE-2021-31214 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα κώδικα Visual Studio | Σπουδαίος |
| CVE-2021-31211 | Visual Studio Code Remote Development Extension Απομακρυσμένη εκτέλεση κώδικα ευπάθεια | Σπουδαίος |
| CVE-2021-31213 | Visual Studio Code Remote Development Extension Απομακρυσμένη εκτέλεση κώδικα ευπάθεια | Σπουδαίος |
| CVE-2021-27068 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Visual Studio | Σπουδαίος |
| CVE-2021-28465 | Επεκτάσεις μέσων Web Απομακρυσμένη εκτέλεση ευπάθειας κώδικα | Σπουδαίος |
| CVE-2021-31190 | Windows Container Isolation FS Φίλτρο προγράμματος οδήγησης Υψόμετρο ευπάθειας Privilege | Σπουδαίος |
| CVE-2021-31165 | Windows Container Manager Service Υψόμετρο ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-31167 | Windows Container Manager Service Υψόμετρο ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-31168 | Windows Container Manager Service Υψόμετρο ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-31169 | Windows Container Manager Service Υψόμετρο ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-31208 | Windows Container Manager Service Υψόμετρο ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-28479 | Ευπάθεια αποκάλυψης πληροφοριών υπηρεσίας CSC των Windows | Σπουδαίος |
| CVE-2021-31185 | Ένα θέμα ευπάθειας άρνησης υπηρεσίας από το Windows Desktop Bridge | Σπουδαίος |
| CVE-2021-31170 | Windows Graphic Component Elevation of Privilege Vulnerability | Σπουδαίος |
| CVE-2021-31188 | Windows Graphic Component Elevation of Privilege Vulnerability | Σπουδαίος |
| CVE-2021-31192 | Ευπάθεια εκτέλεσης βασικού απομακρυσμένου κώδικα Windows Media Foundation | Σπουδαίος |
| CVE-2021-31191 | Windows Projected File System FS Φίλτρο Πληροφορίες προγράμματος οδήγησης Αποκάλυψη ευπάθεια | Σπουδαίος |
| CVE-2021-31186 | Ευπάθεια αποκάλυψης πληροφοριών για το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας των Windows (RDP) | Σπουδαίος |
| CVE-2021-31205 | Windows SMB Client Security Feature Bypass ευπάθεια | Σπουδαίος |
| CVE-2021-31193 | Υπηρεσία SSDP των Windows Αύξηση ευπάθειας προνομίων | Σπουδαίος |
| CVE-2021-31187 | Windows WalletService Elevation of Privilege Vulnerability | Σπουδαίος |
| CVE-2020-24587 | Ευπάθεια αποκάλυψης πληροφοριών ασύρματου δικτύου Windows | Σπουδαίος |
| CVE-2020-24588 | Ευπάθεια πλαστογράφησης ασύρματου δικτύου Windows | Σπουδαίος |
| CVE-2020-26144 | Ευπάθεια πλαστογράφησης ασύρματου δικτύου Windows | Σπουδαίος |
Τούτου λεχθέντος, θα ολοκληρώσουμε την επισκόπηση της έκθεσης CVE αυτού του μήνα και προτείνουμε σε οποιονδήποτε χρησιμοποιώντας οποιοδήποτε από τα προϊόντα της Adobe ή της Microsoft που επηρεάζονται εφαρμόστε τις τελευταίες ενημερώσεις Patch Tuesday το συντομότερο δυνατόν.
Από την άλλη πλευρά, οι χρήστες θα μπορούσαν πάντα να δοκιμάσουν ιούς τρίτων για βοήθεια με την ασφάλεια, καθώς λειτουργούν εξίσου καλά, αν όχι καλύτερα, από την ενημέρωση του υπολογιστή σας.
Ενημερώστε μας για τη γνώμη σας σχετικά με την αναφορά CVE αυτού του μήνα αφήνοντάς μας τα σχόλιά σας στην παρακάτω ενότητα σχολίων.
