- Kord kuus antakse koos Patch Tuesday värskendusega välja kõigi CVE-de aruanne.
- CVEd seisavad selle eest Levinud haavatavused ja kokkupuutedja need kehtivad Microsofti ja Adobe toodete kohta.
- CVE-d on erinevates raskustes, mõned neist on hinnatud olulisteks, teised aga kriitilisteks.
- Kui olete meie CVE aruande läbi lugenud, soovite kindlasti rakendada uusimad turbevärskendused.
Kuigi Plaaster teisipäev on tuntud kui see, et ühel kuul parandab ja lappib Microsoft oma Windowsi operatsioonisüsteemi, paljud inimesed võivad ka teada, et see on ka siis, kui igakuised CVE-aruanded ilmuvad.
Noh, see juhtub olema täna, sest aprilli plaastri teisipäeva värskendused on nüüd ka aktiivsed.
Seni on 2021. aastal CVE-des olnud üsna palju, iga kuu avastati järgmised numbrid:
- Jaanuar: 91
- Veebruar: 106
- Märts: 97
Aprilli CVE aruanne sisaldab 124 tuvastatud CVE-d
Adobe toodetes leiti haavatavusi
Adobe toodete osas tuvastati kokku 10 CVE-d, mis mõjutasid Adobe Photoshopi, Digital Editionsit, RoboHelpi ja Bridge'i.
Ainuüksi Bridge'i värskendus fikseeris neist CVE-st 6, nii et kui kasutate programmi, on uusima värskenduse hankimine peaaegu kohustuslik.
Mis puutub raskusastmesse, siis 10 Adobe-spetsiifilist CVE-d hinnati järgmiselt:
- 6 CVE-d hinnati Kriitiline
- 4 CVE-d olid Sillaga seotud
- 2 CVE-d olid Photoshopiga seotud
- 4 CVE-d hinnati Tähtis
Microsofti toodetes leiti nõrku kohti
Nagu alati, võtsid Microsofti tooted valdava osa tuvastatud CVE-dest, ainuüksi nende arv ületas 100 piiri.
Need CVE-d mõjutasid selliseid programme nagu Microsoft Windows, Edge (Chromiumil põhinev), Azure ja Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio ja Exchange Server.
Puhtate arvude osas on see 2021. aastal leitud suurim CVE-de arv, mis on jõudnud 2020. aastaga võrreldava tasemeni.
Mis puudutab nende 114 vea tõsidust, siis hinnati neid järgmiselt:
- 19 on hinnatud kui Kriitiline
- 88 on hinnatud Tähtis
- Üks on hinnatud Mõõdukas raskusastmes.
Millised olid kõige raskemad CVE-d?
Nagu alati, eristuvad mõned CVE-d teistest oma raskuse, kasutamise viisi või lihtsalt selle pärast, kui raske neid on kasutada, kui neid ära kasutatakse.
-
CVE-2021-28480/28481
- Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus
-
CVE-2021-28329
- Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus
-
CVE-2021-28444
- Windowsi Hyper-V turvafunktsioonidest möödaviigu haavatavus
CVE-de täieliku loendi leiate allolevast tabelist:
CVE |
Pealkiri |
Tõsidus |
| CVE-2021-28310 | Win32k privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28458 | Azure ms-rest-nodeauth teegi privileegi haavatavuse tõus | Tähtis |
| CVE-2021-27091 | RPC lõpp-punkti kaardistaja teenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28437 | Windows Installeri teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28312 | Windowsi NTFS-i teenuse keelamise haavatavus | Mõõdukas |
| CVE-2021-28460 | Azure Sphere'i allkirjastamata koodi täitmise haavatavus | Kriitiline |
| CVE-2021-28480 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-28481 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-28482 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-28483 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-28329 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28330 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28331 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28332 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28333 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28334 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28335 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28336 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28337 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28338 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28339 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-28343 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Kriitiline |
| CVE-2021-27095 | Windows Media videodekooderi kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-28315 | Windows Media videodekooderi kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-27092 | Azure AD veebi sisselogimise turvafunktsiooni ümbersõit haavatavus | Tähtis |
| CVE-2021-27067 | Azure DevOps Serveri ja Team Foundation Serveri teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28459 | Azure DevOpsi serveri ja Team Foundationi teenuste võltsimise haavatavus | Tähtis |
| CVE-2021-28313 | Diagnostikakeskuse standardse kogujateenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28321 | Diagnostikakeskuse standardse kogujateenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28322 | Diagnostikakeskuse standardse kogujateenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28456 | Microsoft Exceli teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28451 | Microsoft Exceli koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-28454 | Microsoft Exceli koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27089 | Microsofti Interneti-sõnumside API kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28449 | Microsoft Office'i kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-28452 | Microsoft Outlooki mäluprobleemide haavatavus | Tähtis |
| CVE-2021-28450 | Microsofti SharePointi teenuse keelamise värskendus | Tähtis |
| CVE-2021-28317 | Microsofti Windowsi kodekite kogu teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28453 | Microsoft Wordi koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27096 | NTFS-i privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-28466 | Toores pildilaiendi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28468 | Toores pildilaiendi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28471 | Kaugarenduse laiendus Visual Studio koodi kaugkoodide täitmise haavatavuse jaoks | Tähtis |
| CVE-2021-28327 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28340 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28341 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28342 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28344 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28345 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28346 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28352 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28353 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28354 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28355 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28356 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28357 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28358 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28434 | Kaugprotseduurikõne käitamise kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28470 | Visual Studio koodi GitHubi tõmbenõuded ja väljastab laienduse kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-28448 | Visual Studio koodi Kubernetes Tools kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-28472 | Visual Studio Code Maven Java laienduse kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-28457 | Visual Studio koodi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28469 | Visual Studio koodi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28473 | Visual Studio koodi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28475 | Visual Studio koodi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-28477 | Visual Studio koodi kaugkoodi täitmise haavatavus | Tähtis |
| CVE-2021-27064 | Visual Studio installeri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-28464 | VP9 videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27072 | Win32k privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28311 | Windowsi rakenduste ühilduvuse vahemälu teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28326 | Windowsi AppX-i juurutusserveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28438 | Windowsi konsooli draiveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28443 | Windowsi konsooli draiveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28323 | Windowsi DNS-i teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28328 | Windowsi DNS-i teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-27094 | Windowsi varajase käivitusega viirusetõrje draiveri turvafunktsioon möödub haavatavusest | Tähtis |
| CVE-2021-28447 | Windowsi varajase käivitusega viirusetõrje draiveri turvafunktsioon möödub haavatavusest | Tähtis |
| CVE-2021-27088 | Windowsi sündmuste jälgimine privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-28435 | Windowsi sündmuste jälgimise teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28318 | Windowsi GDI + teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28348 | Windowsi GDI + koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-28349 | Windowsi GDI + koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-28350 | Windowsi GDI + koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-26416 | Windowsi Hyper-V teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28314 | Windowsi Hyper-V privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-28441 | Windowsi Hyper-V teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28444 | Windowsi Hyper-V turvafunktsioonidest möödaviigu haavatavus | Tähtis |
| CVE-2021-26415 | Windows Installeri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-28440 | Windows Installeri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26413 | Windows Installeri võltsimisnõrkus | Tähtis |
| CVE-2021-27093 | Windowsi tuuma teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28309 | Windowsi tuuma teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-27079 | Windows Media fotokoodeki teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28445 | Windowsi võrgu failisüsteemi koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-26417 | Windowsi ülekattefiltri teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28446 | Windowsi teabe kaardistamise haavatavus | Tähtis |
| CVE-2021-28320 | Windowsi ressursihalduri PSM-teenuse laienduse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-27090 | Windowsi turvalise tuumarežiimi privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-27086 | Windowsi teenused ja kontrollerirakenduse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28324 | Windowsi SMB teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28325 | Windowsi SMB teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28347 | Windowsi kõne käitamise ajal privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28351 | Windowsi kõne käitamise ajal privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28436 | Windowsi kõne käitamise ajal privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-28319 | Windowsi TCP / IP draiveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28439 | Windowsi TCP / IP draiveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-28442 | Windowsi TCP / IP-teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-28316 | Windowsi WLAN-i automaatkonfigureerimise teenuse turvafunktsioonide möödaviigu haavatavus | Tähtis |
See lõpetab meie selle kuu CVE aruande ülevaatuse ja nagu näete, on arvud üsna konstantsed, nii et kui kasutate mõnda ülalnimetatud toodet, proovige seda võimalikult kiiresti värskendada või installida kolmanda osapoole viirusetõrjetööriist välja.
Pidage meeles, et need CVE-d võivad olla üsna ohtlikud, eriti kui värskendusi ei rakendata ja teid jäetakse selliste sündmuste sihtmärgiks nagu igakuine Kasutage kolmapäeva, mis on halvustav mõiste, mis antakse päevale pärast plaastri teisipäeva.
Mida arvate selle kuu CVE aruandest, jättes oma tagasiside allolevasse kommentaaride jaotisesse.
