- Les CVE signifientVulnérabilités et expositions courantes, et ils varient dans la forme et ce qu'ils affectent.
- Pendant le Patch Tuesday, un rapport de tous les CVE est rendu public.
- Les CVE sont classés en fonction de leur gravité, d'importants aux plus graves classés comme critiques.
- En savoir plus sur les CVE de ce mois-ci et mettre à jour votre PC si nécessaire.
Nous savons tous que l'objectif des mises à jour de Patch Tuesday est d'améliorer l'expérience Windows pour les utilisateurs, mais il ne s'agit pas seulement d'ajouter, d'améliorer et de corriger des fonctionnalités.
Cependant, un autre aspect clé de ces mises à jour est les améliorations de sécurité qui les accompagnent, et c'est à peu près pourquoi nous recommandons à tout le monde d'obtenir ces mises à jour dès qu'elles sont disponibles dans votre Région.
Eh bien, le 11 mai est arrivé, tout comme les mises à jour du Patch Tuesday, ce qui signifie que les rapports CVE sont également là.
Jusqu'à présent, 2021 a été assez abondant dans les CVE, les chiffres suivants étant découverts chaque mois :
- Janvier: 91
- Février: 106
- Mars: 97
- Avril: 124
Dans l'ensemble, voici un bref aperçu de la situation CVE de ce mois-ci pour les produits Adobe et Microsoft, et nous soulignerons également certains des plus graves détectés.
Le rapport CVE de mai comprend 98 CVE identifiés
Vulnérabilités trouvées dans les produits Adobe
Adobe a publié un total de 12 correctifs destinés à corriger 43 CVE identifiés qui ont affecté Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat et Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium et Animer.
Sur les 43 CVE Adobe au total, 14 ciblaient Adobe Acrobat Reader, dont l'un n'a toujours pas été résolu, et ils peuvent être utilisés pour exploiter les données des utilisateurs via des PDF modifiés ouverts dans Acrobat.
Vulnérabilités trouvées dans les produits Microsoft
La majeure partie du rapport CVE de ce mois-ci, comme toujours, concerne les CVE liés à Microsoft, et ils totalisent un total de 55.
Ces CVE ciblent Microsoft Windows, .NET Core et Visual Studio, Internet Explorer (IE), Microsoft Office, Serveur SharePoint, logiciel Open Source, Hyper-V, Skype Entreprise et Microsoft Lync, et Exchange Serveur.
En ce qui concerne la gravité de ces 55 bugs, ils ont été évalués comme suit :
- 4 sont classés comme Critique
- 50 sont notés Important
- L'un est noté Modérer en gravité.
Quelles étaient les CVE les plus sévères ?
Certaines CVE se distinguent dans ce rapport soit par leur facilité d'exploitation, soit par la popularité du programme ciblé, et elles sont les suivantes :
-
CVE-2021-31166
- Vulnérabilité d'exécution de code à distance dans la pile de protocoles HTTP
-
CVE-2021-28476
- Vulnérabilité d'exécution de code à distance Hyper-V
-
CVE-2021-27068
- Vulnérabilité d'exécution de code à distance dans Visual Studio
-
CVE-2020-24587
- Vulnérabilité de divulgation d'informations sur le réseau sans fil Windows
Voici une liste complète de tous les CVE inclus dans le rapport de ce mois-ci :
CVE |
Titre |
Gravité |
| CVE-2021-31204 | Vulnérabilité d'élévation des privilèges de .NET Core et Visual Studio | Important |
| CVE-2021-31200 | Vulnérabilité d'exécution de code à distance de Common Utilities | Important |
| CVE-2021-31207 | Vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Exchange Server | Modérer |
| CVE-2021-31166 | Vulnérabilité d'exécution de code à distance dans la pile de protocoles HTTP | Critique |
| CVE-2021-28476 | Vulnérabilité d'exécution de code à distance Hyper-V | Critique |
| CVE-2021-31194 | Vulnérabilité d'exécution de code à distance OLE Automation | Critique |
| CVE-2021-26419 | Vulnérabilité de corruption de mémoire du moteur de script | Critique |
| CVE-2021-28461 | Vulnérabilité des scripts intersites dans Dynamics Finance and Operations | Important |
| CVE-2021-31936 | Microsoft Accessibility Insights pour la vulnérabilité de divulgation d'informations Web | Important |
| CVE-2021-31182 | Vulnérabilité d'usurpation du pilote Microsoft Bluetooth | Important |
| CVE-2021-31174 | Vulnérabilité de divulgation d'informations dans Microsoft Excel | Important |
| CVE-2021-31195 | Vulnérabilité d'exécution de code à distance de Microsoft Exchange Server | Important |
| CVE-2021-31198 | Vulnérabilité d'exécution de code à distance de Microsoft Exchange Server | Important |
| CVE-2021-31209 | Vulnérabilité d'usurpation de Microsoft Exchange Server | Important |
| CVE-2021-28455 | Vulnérabilité d'exécution de code à distance du moteur de base de données Microsoft Jet Red et du moteur de connectivité d'accès | Important |
| CVE-2021-31180 | Vulnérabilité d'exécution de code à distance de Microsoft Office Graphics | Important |
| CVE-2021-31178 | Vulnérabilité de divulgation d'informations dans Microsoft Office | Important |
| CVE-2021-31175 | Vulnérabilité d'exécution de code à distance de Microsoft Office | Important |
| CVE-2021-31176 | Vulnérabilité d'exécution de code à distance de Microsoft Office | Important |
| CVE-2021-31177 | Vulnérabilité d'exécution de code à distance de Microsoft Office | Important |
| CVE-2021-31179 | Vulnérabilité d'exécution de code à distance de Microsoft Office | Important |
| CVE-2021-31171 | Vulnérabilité de divulgation d'informations dans Microsoft SharePoint | Important |
| CVE-2021-31181 | Vulnérabilité d'exécution de code à distance Microsoft SharePoint | Important |
| CVE-2021-31173 | Vulnérabilité de divulgation d'informations sur Microsoft SharePoint Server | Important |
| CVE-2021-28474 | Vulnérabilité d'exécution de code à distance de Microsoft SharePoint Server | Important |
| CVE-2021-26418 | Vulnérabilité d'usurpation de Microsoft SharePoint | Important |
| CVE-2021-28478 | Vulnérabilité d'usurpation de Microsoft SharePoint | Important |
| CVE-2021-31172 | Vulnérabilité d'usurpation de Microsoft SharePoint | Important |
| CVE-2021-31184 | Vulnérabilité de divulgation d'informations Microsoft Windows Infrared Data Association (IrDA) | Important |
| CVE-2021-26422 | Vulnérabilité d'exécution de code à distance dans Skype Entreprise et Lync | Important |
| CVE-2021-26421 | Vulnérabilité d'usurpation de Skype Entreprise et Lync | Important |
| CVE-2021-31214 | Vulnérabilité d'exécution de code à distance dans Visual Studio Code | Important |
| CVE-2021-31211 | Vulnérabilité d'exécution de code à distance de l'extension de développement à distance Visual Studio Code | Important |
| CVE-2021-31213 | Vulnérabilité d'exécution de code à distance de l'extension de développement à distance Visual Studio Code | Important |
| CVE-2021-27068 | Vulnérabilité d'exécution de code à distance dans Visual Studio | Important |
| CVE-2021-28465 | Vulnérabilité d'exécution de code à distance des extensions de média Web | Important |
| CVE-2021-31190 | Vulnérabilité d'élévation des privilèges du pilote de filtre FS d'isolation de conteneur Windows | Important |
| CVE-2021-31165 | Vulnérabilité d'élévation des privilèges du service Windows Container Manager | Important |
| CVE-2021-31167 | Vulnérabilité d'élévation des privilèges du service Windows Container Manager | Important |
| CVE-2021-31168 | Vulnérabilité d'élévation des privilèges du service Windows Container Manager | Important |
| CVE-2021-31169 | Vulnérabilité d'élévation des privilèges du service Windows Container Manager | Important |
| CVE-2021-31208 | Vulnérabilité d'élévation des privilèges du service Windows Container Manager | Important |
| CVE-2021-28479 | Vulnérabilité de divulgation d'informations sur le service Windows CSC | Important |
| CVE-2021-31185 | Vulnérabilité de déni de service du pont de bureau Windows | Important |
| CVE-2021-31170 | Vulnérabilité d'élévation des privilèges des composants graphiques Windows | Important |
| CVE-2021-31188 | Vulnérabilité d'élévation des privilèges des composants graphiques Windows | Important |
| CVE-2021-31192 | Vulnérabilité d'exécution de code à distance de Windows Media Foundation Core | Important |
| CVE-2021-31191 | Vulnérabilité de divulgation d'informations sur le pilote du filtre FS du système de fichiers projeté Windows | Important |
| CVE-2021-31186 | Vulnérabilité de divulgation d'informations du protocole Windows Remote Desktop (RDP) | Important |
| CVE-2021-31205 | Vulnérabilité de contournement de la fonctionnalité de sécurité du client Windows SMB | Important |
| CVE-2021-31193 | Vulnérabilité d'élévation des privilèges du service Windows SSDP | Important |
| CVE-2021-31187 | Vulnérabilité d'élévation des privilèges de Windows WalletService | Important |
| CVE-2020-24587 | Vulnérabilité de divulgation d'informations sur le réseau sans fil Windows | Important |
| CVE-2020-24588 | Vulnérabilité d'usurpation de réseau sans fil Windows | Important |
| CVE-2020-26144 | Vulnérabilité d'usurpation de réseau sans fil Windows | Important |
Cela étant dit, nous allons conclure notre aperçu du rapport CVE de ce mois-ci, et nous recommandons à toute personne en utilisant l'un des produits Adobe ou Microsoft concernés, appliquez les dernières mises à jour Patch Tuesday dès que possible.
D'un autre côté, les utilisateurs peuvent toujours essayer antivirus tiers pour aider à la sécurité, car ils fonctionnent aussi bien, sinon mieux, que la mise à jour de votre PC.
Faites-nous savoir ce que vous pensez du rapport CVE de ce mois-ci en nous laissant vos commentaires dans la section commentaires ci-dessous.
