- Selle plaastri teisipäevaga kaasas olnud aruannete põhjal tuvastati 97 erinevat CVE-d.
- 89 mõjutas Microsofti tooteid, samal ajal kui ainult 8 Adobe'i tooteid.
- Kuigi mõningaid CVE-sid hinnati tõepoolest kriitilisteks, hinnati enamust neist olulisteks.
- Lisateave selle kohta, mida iga CVE mõjutab ja kuidas see avaldub.
Digitaalmaailm on pidevas võidujooksus tarkvara, pahavara ja tööriistade vahel, mida kasutatakse pahavara eest kaitsmiseks.
Noh, selle sõja teine voor on nüüdseks lõppenud, kui Märtsi plaaster teisipäev värskendused on siin, kuna päevavalgele on tulnud uusi teateid avastatud CVE-de kohta.
Seni on 2021. aastal CVE-des olnud üsna palju, iga kuu avastati järgmised numbrid:
- Jaanuar: 91
- Veebruar: 106
Tundub, et ka märtsikuu on üsna rikkalik, avastati 97 CVE-d, mida kõiki käsitletakse üksikasjalikumalt allpool olevas artiklis:
Märtsi CVE aruanne sisaldab 97 tuvastatud CVE-d
Adobe toodetes leiti haavatavusi
Sel kuul leitud 97 CVE-st kuulus ainult 8 Adobe'i programmi, täpsemalt Adobe Connect, Creative Cloud Desktop ja Framemaker.
8-st tuvastatud CVE-st hinnati 4 olevat Kriitiline samas kui ülejäänud 4 hinnati Tähtis.
Microsofti toodetes leiti nõrku kohti
Nagu alati, on Microsofti toodetes valdav osa tuvastatud CVE-dest, ainuüksi sel kuul leiti 89 toodet.
Need CV-d mõjutasid mitut Microsofti teenust, sealhulgas Microsofti Windowsi komponente, Azure ja Azure DevOps, Azure Sphere, Internet Explorer ja Edge (EdgeHTML), Exchange Server, Office ja palju muud.
Neli neist haavatavustest loeti aktiivse rünnaku alla, nii et enne paranduse teisipäeva ajakava vabastati väiksem plaaster nende parandamiseks.
Nendest 89 veast hinnati neid järgmiselt:
- 14 on loetletud kui Kriitiline
- 75 on loetletud kui Tähtis raskusastmes.
Millised olid kõige raskemad CVE-d?
Kuigi kõiki CVE-sid tuleks pidada tähelepanuväärseteks, olid mõned sellised, mis paistsid silma oma raskuse või käitumisviisi tõttu:
-
CVE-2021-26897
- Windowsi DNS-serveri koodi kaugkäivitamise turvaauk
-
CVE-2021-26867
- Windowsi Hyper-V kaugkoodide täitmise haavatavus
-
CVE-2021-27076
- Microsoft SharePoint Serveri koodi kaugkäivitamise haavatavus
-
CVE-2021-26411
- Internet Exploreri mäluprobleemide nõrkus
Kõik muud tuvastatud CVEd on loetletud allolevas tabelis:
CVE |
Pealkiri |
Tõsidus |
| CVE-2021-26411 | Internet Exploreri mäluprobleemide nõrkus | Kriitiline |
| CVE-2021-26855 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-26857 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-27065 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-26858 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27077 | Windows Win32k privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-27074 | Azure Sphere'i allkirjastamata koodi täitmise haavatavus | Kriitiline |
| CVE-2021-27080 | Azure Sphere'i allkirjastamata koodi täitmise haavatavus | Kriitiline |
| CVE-2021-21300 | Git Visual Studio koodi kaugkäivitamise haavatavuse jaoks | Kriitiline |
| CVE-2021-24089 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-26902 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-27061 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-26412 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-26876 | OpenType'i fontide parsimise kaugkäivitamise haavatavus | Kriitiline |
| CVE-2021-26897 | Windowsi DNS-serveri koodi kaugkäivitamise turvaauk | Kriitiline |
| CVE-2021-26867 | Windowsi Hyper-V kaugkoodide täitmise haavatavus | Kriitiline |
| CVE-2021-26890 | Rakenduse virtualiseerimine koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27075 | Azure'i virtuaalse masina teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-24095 | DirectXi privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-24110 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27047 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27048 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27049 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27050 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27051 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27062 | HEVC videolaiendite kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27085 | Internet Exploreri koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27053 | Microsoft Exceli koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27054 | Microsoft Exceli koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-26854 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27078 | Microsoft Exchange Serveri koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27058 | Microsoft Office ClickToRun koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-24108 | Microsoft Office'i kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27057 | Microsoft Office'i kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27059 | Microsoft Office'i kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-26859 | Microsofti Power BI teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-27056 | Microsofti PowerPointi koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27052 | Microsofti SharePoint Serveri teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-27076 | Microsoft SharePoint Serveri koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-24104 | Microsofti SharePointi võltsimisnõrkus | Tähtis |
| CVE-2021-27055 | Microsofti Visio turvafunktsioonide möödaviigu haavatavus | Tähtis |
| CVE-2021-26887 | Microsoft Windowsi kaustade ümbersuunamine privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26881 | Microsoft Windows Media Foundationi koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27082 | Kvantiarenduskomplekt Visual Studio koodi kaugkoodide täitmise haavatavuse jaoks | Tähtis |
| CVE-2021-26882 | Kaugjuurdepääsu API privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-27083 | Kaugarenduse laiendus Visual Studio koodi kaugkoodide täitmise haavatavuse jaoks | Tähtis |
| CVE-2021-26880 | Salvestusruumide kontrolleri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26886 | Kasutajaprofiili teenuse teenuse keelamise haavatavus | Tähtis |
| CVE-2021-27081 | Visual Studio koodi ESLinti laienduse koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-27084 | Visual Studio koodi Java laienduspaketi koodi kaugtäitmise haavatavus | Tähtis |
| CVE-2021-27060 | Visual Studio koodi kaugkoodide täitmise haavatavus | Tähtis |
| CVE-2021-27070 | Windows 10 värskenduse assistendi privileegi haavatavuse tõus | Tähtis |
| CVE-2021-26869 | Windows ActiveX Installeri teenuse teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-27066 | Windowsi administraatorikeskuse turvafunktsioonidest möödaviigu haavatavus | Tähtis |
| CVE-2021-26860 | Windowsi App-V ülekattefiltri privileegi haavatavuse tõus | Tähtis |
| CVE-2021-26865 | Windowsi mahuti täitmisagendi privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-26891 | Windowsi mahuti täitmisagendi privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-26896 | Windowsi DNS-serveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-27063 | Windowsi DNS-serveri teenuse keelamise haavatavus | Tähtis |
| CVE-2021-26877 | Windowsi DNS-serveri koodi kaugkäivitamise turvaauk | Tähtis |
| CVE-2021-26893 | Windowsi DNS-serveri koodi kaugkäivitamise turvaauk | Tähtis |
| CVE-2021-26894 | Windowsi DNS-serveri koodi kaugkäivitamise turvaauk | Tähtis |
| CVE-2021-26895 | Windowsi DNS-serveri koodi kaugkäivitamise turvaauk | Tähtis |
| CVE-2021-24090 | Windowsi viga teatades privileegi haavatavuse suurenemisest | Tähtis |
| CVE-2021-26872 | Windowsi sündmuste jälgimine privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26898 | Windowsi sündmuste jälgimine privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26901 | Windowsi sündmuste jälgimine privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-24107 | Windowsi sündmuste jälgimise teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-26892 | Windowsi laiendatava püsivara liidese turvafunktsiooni ümbersõidu haavatavus | Tähtis |
| CVE-2021-26868 | Windowsi graafikakomponendi privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-26861 | Windowsi graafikakomponendi koodi kaugkäivitamise haavatavus | Tähtis |
| CVE-2021-26862 | Windows Installeri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26884 | Windows Media fotokoodeki teabe avalikustamise haavatavus | Tähtis |
| CVE-2021-26879 | Windowsi NAT-i teenuse keelamise haavatavus | Tähtis |
| CVE-2021-26874 | Windowsi ülekattefiltri privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-1640 | Windows Print Spooleri privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-26878 | Windows Print Spooleri privileegide haavatavuse suurenemine | Tähtis |
| CVE-2021-26870 | Windowsi prognoositud failisüsteemi privileegi haavatavuse suurenemine | Tähtis |
| CVE-2021-26866 | Windowsi värskendusteenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26889 | Windows Update'i virnaõiguste haavatavuse tõstmine | Tähtis |
| CVE-2021-1729 | Windows Update'i virna seadistamine privileegi haavatavuse tõus | Tähtis |
| CVE-2021-26899 | Windowsi UPnP-seadme hosti kõrgendatud privileegide haavatavus | Tähtis |
| CVE-2021-26873 | Windowsi kasutajaprofiiliteenuse privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26864 | Windowsi virtuaalse registriteenuse pakkuja privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26871 | Windows WalletService'i privileegide haavatavuse tõstmine | Tähtis |
| CVE-2021-26885 | Windows WalletService'i privileegide haavatavuse tõstmine | Tähtis |
| CVE-2021-26863 | Windows Win32k privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26875 | Windows Win32k privileegi haavatavuse tõstmine | Tähtis |
| CVE-2021-26900 | Windows Win32k privileegi haavatavuse tõstmine | Tähtis |
Jaanuar ja veebruar 2021 algasid CVE-de arvu osas juba tõusutrendiga, kuid märts näis muutuseks vähemaks toonud.
Pidage meeles, et kui kasutate mõnda ülalnimetatud Microsofti või Adobe toodet ja teenust, olete suurem risk eelmainitud haavatavuste tõttu, seega pidage meeles, et laadige alla ja installige uusim Patch Tuesday värskendused.
See võib aidata ka kolmandate osapoolte viirusetõrjetööriistade kasutamist, kuid see tähendab veel mõnda kulutamist, samas kui Patch Tuesday värskendused on ja on alati tasuta.
Kuidas suhtute selle kuu CVE aruandesse?
Andke meile teada, kas CVE-d peaksid laiemale avalikkusele muret valmistama, jättes meile oma tagasiside allpool olevasse kommentaaride jaotisesse.
