- Los CVE significanVulnerabilidades y exposiciones comunes, y varían en forma y en lo que afectan.
- Durante el martes de parches, se publica un informe de todos los CVE al público en general.
- Los CVE se clasifican en función de la gravedad, desde importantes hasta los más graves clasificados como críticos.
- Lea más sobre los CVE de este mes y actualice su PC si es necesario.
Todos sabemos que el enfoque de las actualizaciones de Patch Tuesday es la mejora de la experiencia de Windows para los usuarios, pero no se trata solo de agregar, mejorar y corregir funciones.
Sin embargo, otro aspecto clave de estas actualizaciones son las mejoras de seguridad que las acompañan, y eso es por qué recomendamos que todos obtengan estas actualizaciones tan pronto como estén disponibles en su región.
Bueno, el 11 de mayo está aquí, al igual que las actualizaciones de Patch Tuesday, y esto significa que los informes CVE también están aquí.
Hasta ahora, 2021 ha sido bastante abundante en CVE, y cada mes se descubren las siguientes cifras:
- Enero: 91
- Febrero: 106
- Marcha: 97
- Abril: 124
En general, aquí hay un breve resumen de la situación de CVE de este mes para los productos relacionados con Adobe y Microsoft, y también destacaremos algunos de los más graves detectados.
El informe CVE de mayo incluye 98 CVE identificados
Vulnerabilidades encontradas en los productos de Adobe
Adobe ha lanzado un total de 12 parches destinados a corregir 43 CVE identificados que afectaron a Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat y Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium y Animar.
Del total de 43 Adobe CVE, 14 se dirigieron a Adobe Acrobat Reader, uno de los cuales aún no se ha resuelto, y se pueden usar para explotar los datos del usuario a través de PDF modificados abiertos en Acrobat.
Vulnerabilidades encontradas en productos de Microsoft
La mayor parte del informe CVE de este mes, como siempre, son los CVE relacionados con Microsoft, y suman un total de 55.
Estos CVE se dirigen a Microsoft Windows, .NET Core y Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, software de código abierto, Hyper-V, Skype for Business y Microsoft Lync y Exchange Servidor.
En lo que respecta a la gravedad de estos 55 errores, se calificaron de la siguiente manera:
- 4 están clasificados como Crítico
- 50 están calificados Importante
- Uno está clasificado Moderar en severidad.
¿Cuáles fueron algunas de las ECV más graves?
Algunos CVE se destacan en este informe ya sea por la facilidad con la que fueron explotados o por la popularidad del programa al que se dirigió, y son los siguientes:
-
CVE-2021-31166
- Vulnerabilidad de ejecución remota de código de pila de protocolo HTTP
-
CVE-2021-28476
- Vulnerabilidad de ejecución remota de código de Hyper-V
-
CVE-2021-27068
- Vulnerabilidad de ejecución remota de código de Visual Studio
-
CVE-2020-24587
- Vulnerabilidad de divulgación de información de redes inalámbricas de Windows
A continuación, se muestra una lista completa de todos los CVE incluidos en el informe de este mes:
CVE |
Título |
Gravedad |
| CVE-2021-31204 | Vulnerabilidad de elevación de privilegios de .NET Core y Visual Studio | Importante |
| CVE-2021-31200 | Vulnerabilidad de ejecución remota de código de utilidades comunes | Importante |
| CVE-2021-31207 | Vulnerabilidad de omisión de la característica de seguridad de Microsoft Exchange Server | Moderar |
| CVE-2021-31166 | Vulnerabilidad de ejecución remota de código de pila de protocolo HTTP | Crítico |
| CVE-2021-28476 | Vulnerabilidad de ejecución remota de código de Hyper-V | Crítico |
| CVE-2021-31194 | Vulnerabilidad de ejecución remota de código de automatización OLE | Crítico |
| CVE-2021-26419 | Vulnerabilidad de daños en la memoria del motor de secuencias de comandos | Crítico |
| CVE-2021-28461 | Vulnerabilidad de secuencias de comandos entre sitios de Dynamics Finance and Operations | Importante |
| CVE-2021-31936 | Microsoft Accessibility Insights para la vulnerabilidad de divulgación de información web | Importante |
| CVE-2021-31182 | Vulnerabilidad de suplantación de identidad del controlador Bluetooth de Microsoft | Importante |
| CVE-2021-31174 | Vulnerabilidad de divulgación de información de Microsoft Excel | Importante |
| CVE-2021-31195 | Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server | Importante |
| CVE-2021-31198 | Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server | Importante |
| CVE-2021-31209 | Vulnerabilidad de suplantación de identidad de Microsoft Exchange Server | Importante |
| CVE-2021-28455 | Vulnerabilidad de ejecución remota de código del motor de base de datos Microsoft Jet Red y motor de conectividad de acceso | Importante |
| CVE-2021-31180 | Vulnerabilidad de ejecución remota de código de gráficos de Microsoft Office | Importante |
| CVE-2021-31178 | Vulnerabilidad de divulgación de información de Microsoft Office | Importante |
| CVE-2021-31175 | Vulnerabilidad de ejecución remota de código de Microsoft Office | Importante |
| CVE-2021-31176 | Vulnerabilidad de ejecución remota de código de Microsoft Office | Importante |
| CVE-2021-31177 | Vulnerabilidad de ejecución remota de código de Microsoft Office | Importante |
| CVE-2021-31179 | Vulnerabilidad de ejecución remota de código de Microsoft Office | Importante |
| CVE-2021-31171 | Vulnerabilidad de divulgación de información de Microsoft SharePoint | Importante |
| CVE-2021-31181 | Vulnerabilidad de ejecución remota de código de Microsoft SharePoint | Importante |
| CVE-2021-31173 | Vulnerabilidad de divulgación de información de Microsoft SharePoint Server | Importante |
| CVE-2021-28474 | Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Server | Importante |
| CVE-2021-26418 | Vulnerabilidad de suplantación de identidad de Microsoft SharePoint | Importante |
| CVE-2021-28478 | Vulnerabilidad de suplantación de identidad de Microsoft SharePoint | Importante |
| CVE-2021-31172 | Vulnerabilidad de suplantación de identidad de Microsoft SharePoint | Importante |
| CVE-2021-31184 | Vulnerabilidad de divulgación de información de la Asociación de datos infrarrojos de Microsoft Windows (IrDA) | Importante |
| CVE-2021-26422 | Vulnerabilidad de ejecución remota de código de Skype for Business y Lync | Importante |
| CVE-2021-26421 | Vulnerabilidad de suplantación de identidad de Skype Empresarial y Lync | Importante |
| CVE-2021-31214 | Vulnerabilidad de ejecución remota de código de Visual Studio Code | Importante |
| CVE-2021-31211 | Vulnerabilidad de ejecución remota de código de la extensión de desarrollo remoto de Visual Studio Code | Importante |
| CVE-2021-31213 | Vulnerabilidad de ejecución remota de código de la extensión de desarrollo remoto de Visual Studio Code | Importante |
| CVE-2021-27068 | Vulnerabilidad de ejecución remota de código de Visual Studio | Importante |
| CVE-2021-28465 | Vulnerabilidad de ejecución remota de código de extensiones de medios web | Importante |
| CVE-2021-31190 | Windows Container Isolation FS Filter Driver Elevación de la vulnerabilidad de privilegios | Importante |
| CVE-2021-31165 | Vulnerabilidad de elevación de privilegios del servicio de Windows Container Manager | Importante |
| CVE-2021-31167 | Vulnerabilidad de elevación de privilegios del servicio de Windows Container Manager | Importante |
| CVE-2021-31168 | Vulnerabilidad de elevación de privilegios del servicio de Windows Container Manager | Importante |
| CVE-2021-31169 | Vulnerabilidad de elevación de privilegios del servicio de Windows Container Manager | Importante |
| CVE-2021-31208 | Vulnerabilidad de elevación de privilegios del servicio de Windows Container Manager | Importante |
| CVE-2021-28479 | Vulnerabilidad de divulgación de información de servicio de Windows CSC | Importante |
| CVE-2021-31185 | Vulnerabilidad de denegación de servicio de Windows Desktop Bridge | Importante |
| CVE-2021-31170 | Vulnerabilidad de elevación de privilegios del componente de gráficos de Windows | Importante |
| CVE-2021-31188 | Vulnerabilidad de elevación de privilegios del componente de gráficos de Windows | Importante |
| CVE-2021-31192 | Vulnerabilidad de ejecución remota de código de Windows Media Foundation Core | Importante |
| CVE-2021-31191 | Vulnerabilidad de divulgación de información del controlador del filtro FS del sistema de archivos proyectado de Windows | Importante |
| CVE-2021-31186 | Vulnerabilidad de divulgación de información del Protocolo de escritorio remoto de Windows (RDP) | Importante |
| CVE-2021-31205 | Vulnerabilidad de omisión de la característica de seguridad del cliente SMB de Windows | Importante |
| CVE-2021-31193 | Vulnerabilidad de elevación de privilegios del servicio SSDP de Windows | Importante |
| CVE-2021-31187 | Vulnerabilidad de elevación de privilegios de Windows WalletService | Importante |
| CVE-2020-24587 | Vulnerabilidad de divulgación de información de redes inalámbricas de Windows | Importante |
| CVE-2020-24588 | Vulnerabilidad de suplantación de identidad de redes inalámbricas de Windows | Importante |
| CVE-2020-26144 | Vulnerabilidad de suplantación de identidad de redes inalámbricas de Windows | Importante |
Dicho esto, concluiremos nuestra descripción general del informe CVE de este mes y recomendamos que todos utilizando cualquiera de los productos de Adobe o Microsoft afectados, aplique las últimas actualizaciones de Patch Tuesday tan pronto como posible.
Por otro lado, los usuarios siempre pueden intentar antivirus de terceros para ayudar con la seguridad, ya que funcionan tan bien, si no mejor, que actualizar su PC.
Háganos saber lo que piensa sobre el informe CVE de este mes dejándonos sus comentarios en la sección de comentarios a continuación.
