- CVE: t edustavatYleiset haavoittuvuudet ja altistukset, ja ne vaihtelevat muodoltaan ja mihin ne vaikuttavat.
- Patch tiistain aikana raportti kaikista CVE: stä julkaistaan suurelle yleisölle.
- CVE: t luokitellaan vakavuuden mukaan Tärkeästä vakavampiin kriittisiksi luokiteltuihin.
- Lue lisää tämän kuukauden CVE: stä ja päivitä tietokoneesi tarvittaessa.
Me kaikki tiedämme, että Patch Tuesday -päivitysten painopiste on käyttäjien Windows-kokemuksen parantaminen, mutta niissä ei ole kyse vain ominaisuuksien lisäämisestä, parantamisesta ja korjaamisesta.
Toinen tärkeä näkökohta näille päivityksille on kuitenkin niiden mukana tulevat tietoturvaparannukset melko paljon, miksi suosittelemme, että jokainen saa nämä päivitykset heti, kun ne tulevat saataville alueella.
No, 11. toukokuuta on täällä, ja niin ovat myös Patch Tuesday -päivitykset, mikä tarkoittaa, että myös CVE-raportit ovat täällä.
Toistaiseksi 2021 on ollut varsin runsas CVE: ssä, ja seuraavat luvut on löydetty joka kuukausi:
- Tammikuu: 91
- Helmikuu: 106
- Maaliskuu: 97
- Huhtikuu: 124
Kaiken kaikkiaan tässä on lyhyt yhteenveto tämän kuukauden CVE-tilanteesta sekä Adobelle että Microsoftiin liittyville tuotteille, ja korostamme myös joitain havaituista vakavammista.
Toukokuun CVE-raportti sisältää 98 tunnistettua CVE: tä
Adoben tuotteiden haavoittuvuudet
Adobe on julkaissut yhteensä 12 korjaustiedostoa, joiden on tarkoitus korjata 43 tunnistettua CVE: tä, jotka vaikuttivat Experience Manageriin, InDesigniin, Illustrator, InCopy, Adobe Genuine Service, Acrobat ja Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium ja Animoi.
Kaikista 43 Adobe CVE: stä 14 kohdisti Adobe Acrobat Readerin, joista yksi on vielä jätetty ratkaisematta, ja niitä voidaan käyttää käyttäjätietojen hyödyntämiseen muokattujen, Acrobatissa avattujen PDF-tiedostojen kautta.
Microsoft-tuotteiden haavoittuvuudet
Kuten aina, suurin osa tämän kuukauden CVE-raportista on Microsoftiin liittyviä CVE-raportteja, ja niiden yhteenlaskettu summa on 55.
Nämä CVE: t kohdistuvat Microsoft Windowsiin, .NET Coreiin ja Visual Studioon, Internet Exploreriin (IE), Microsoft Officeen, SharePoint Server, avoimen lähdekoodin ohjelmisto, Hyper-V, Skype for Business ja Microsoft Lync sekä Exchange Palvelin.
Mitä tulee näiden 55 virheen vakavuuteen, ne arvioitiin seuraavasti:
- 4 on luokiteltu Kriittinen
- 50 on luokiteltu Tärkeä
- Yksi on luokiteltu Kohtalainen vakavuudessa.
Mitkä olivat vakavimpia CVE: itä?
Jotkut CVE: t erottuvat tässä raportissa joko niiden helpon hyödyntämisen tai kohdennetun ohjelman suosion vuoksi, ja ne ovat seuraavat:
-
CVE-2021-31166
- HTTP-protokollapinon koodin etäsuorittamisen haavoittuvuus
-
CVE-2021-28476
- Hyper-V-koodin suorittamisen etäheikkous
-
CVE-2021-27068
- Visual Studion koodin suorittamisen etäheikkous
-
CVE-2020-24587
- Windowsin langattoman verkkotietojen paljastumisen heikkous
Tässä on täydellinen luettelo kaikista tämän kuukauden raporttiin sisältyvistä CVE: stä:
CVE |
Otsikko |
Vakavuus |
| CVE-2021-31204 | .NET Core- ja Visual Studio -korvausoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31200 | Yleisten apuohjelmien koodin suorittamisen etäheikkous | Tärkeä |
| CVE-2021-31207 | Microsoft Exchange Serverin suojausominaisuuden ohitushaavoittuvuus | Kohtalainen |
| CVE-2021-31166 | HTTP-protokollapinon koodin etäsuorittamisen haavoittuvuus | Kriittinen |
| CVE-2021-28476 | Hyper-V-koodin suorittamisen etäheikkous | Kriittinen |
| CVE-2021-31194 | OLE-automaation koodin suorittamisen etäheikkous | Kriittinen |
| CVE-2021-26419 | Komentosarjamoottorin muistin vioittumisen haavoittuvuus | Kriittinen |
| CVE-2021-28461 | Dynamics Finance and Operations -sivustojen välisten komentosarjojen heikkous | Tärkeä |
| CVE-2021-31936 | Microsoftin esteettömyystietoja verkkotietojen paljastamisen haavoittuvuudesta | Tärkeä |
| CVE-2021-31182 | Microsoftin Bluetooth-ohjaimen huijaushaavoittuvuus | Tärkeä |
| CVE-2021-31174 | Microsoft Excelin tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-31195 | Microsoft Exchange Serverin koodin etäsuorittamisen haavoittuvuus | Tärkeä |
| CVE-2021-31198 | Microsoft Exchange Serverin koodin etäsuorittamisen haavoittuvuus | Tärkeä |
| CVE-2021-31209 | Microsoft Exchange Serverin huijaushaavoittuvuus | Tärkeä |
| CVE-2021-28455 | Microsoft Jet Red -tietokantamoottori ja Access Connectivity Engine -koodin suorittamisen etäheikkous | Tärkeä |
| CVE-2021-31180 | Microsoft Office Graphicsin koodin etäsuorittamisen heikkous | Tärkeä |
| CVE-2021-31178 | Microsoft Office Information Disclosure -heikkous | Tärkeä |
| CVE-2021-31175 | Microsoft Office -etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31176 | Microsoft Office -etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31177 | Microsoft Office -etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31179 | Microsoft Office -etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31171 | Microsoft SharePointin tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-31181 | Microsoft SharePointin etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31173 | Microsoft SharePoint Server -tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-28474 | Microsoft SharePoint Server -etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-26418 | Microsoft SharePointin huijaushaavoittuvuus | Tärkeä |
| CVE-2021-28478 | Microsoft SharePointin huijaushaavoittuvuus | Tärkeä |
| CVE-2021-31172 | Microsoft SharePointin huijaushaavoittuvuus | Tärkeä |
| CVE-2021-31184 | Microsoft Windows Infrared Data Association (IrDA) -tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-26422 | Skype for Business ja Lync-etäkoodin suorittamisen haavoittuvuus | Tärkeä |
| CVE-2021-26421 | Skype for Business- ja Lync-huijaushaavoittuvuus | Tärkeä |
| CVE-2021-31214 | Visual Studio -koodin etäkoodin suorittamisen heikkous | Tärkeä |
| CVE-2021-31211 | Visual Studio -koodin etäkehityslaajennuksen etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-31213 | Visual Studio -koodin etäkehityslaajennuksen etäkoodin suorituksen heikkous | Tärkeä |
| CVE-2021-27068 | Visual Studion koodin suorittamisen etäheikkous | Tärkeä |
| CVE-2021-28465 | Web-medialaajennusten koodin suorittamisen etäheikkous | Tärkeä |
| CVE-2021-31190 | Windows Container Isolation FS -suodatinohjaimen käyttöoikeuksien haavoittuvuuden nousu | Tärkeä |
| CVE-2021-31165 | Windows Container Manager -palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31167 | Windows Container Manager -palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31168 | Windows Container Manager -palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31169 | Windows Container Manager -palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31208 | Windows Container Manager -palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-28479 | Windowsin CSC-palvelun tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-31185 | Windows Desktop Bridge -palvelunestoheikkous | Tärkeä |
| CVE-2021-31170 | Windows-grafiikkakomponenttien käyttöoikeuksien haavoittuvuuden nousu | Tärkeä |
| CVE-2021-31188 | Windows-grafiikkakomponenttien käyttöoikeuksien haavoittuvuuden nousu | Tärkeä |
| CVE-2021-31192 | Windows Media Foundationin koodin etäsuorittamisen ydinhaavoittuvuus | Tärkeä |
| CVE-2021-31191 | Windowsin projisoitu tiedostojärjestelmä FS-suodattimen ohjaintietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-31186 | Windowsin etätyöpöytäprotokollan (RDP) tietojen paljastumisen heikkous | Tärkeä |
| CVE-2021-31205 | Windows SMB Client Security Feature Bypass -haavoittuvuus | Tärkeä |
| CVE-2021-31193 | Windowsin SSDP-palvelun käyttöoikeuksien haavoittuvuus | Tärkeä |
| CVE-2021-31187 | Windows WalletService -korvausoikeuksien haavoittuvuus | Tärkeä |
| CVE-2020-24587 | Windowsin langattoman verkkotietojen paljastumisen heikkous | Tärkeä |
| CVE-2020-24588 | Windowsin langattoman verkon väärentämisen haavoittuvuus | Tärkeä |
| CVE-2020-26144 | Windowsin langattoman verkon väärentämisen haavoittuvuus | Tärkeä |
Tästä huolimatta lopetamme katsauksemme tämän kuukauden CVE-raportista ja suosittelemme kaikkia käyttämällä mitä tahansa asianomaisia Adobe- tai Microsoft-tuotteita, käytä uusimpia Patch Tuesday -päivityksiä heti mahdollista.
Toisaalta käyttäjät voivat aina yrittää kolmannen osapuolen antivirus auttaa tietoturvassa, koska ne toimivat yhtä hyvin, ellei paremmin, kuin päivittää tietokoneesi.
Kerro meille, mitä mieltä olet tämän kuukauden CVE-raportista jättämällä meille palautetta alla olevaan kommenttiosioon.
