- Reizi mēnesī līdz ar Patch Tuesday atjauninājumu tiek izlaists visu CVE pārskats.
- CVE iestājas par Kopējās ievainojamības un iedarbība, un tie attiecas uz Microsoft un Adobe produktiem.
- CVE ir dažādas grūtības, daži tiek vērtēti kā svarīgi, bet citi ir kritiski.
- Kad esat izlasījis mūsu CVE ziņojumu, noteikti vēlaties izmantot jaunākos drošības atjauninājumus.
Kamēr Plāksteris otrdien ir labi zināms, ka vienā mēnesī Microsoft labo un ielāpj savu Windows OS, daudzi cilvēki var arī zināt, ka tas notiek arī tad, kad iznāk ikmēneša CVE pārskati.
Nu, tas notiek šodien, jo tagad ir pieejami arī aprīļa ielāpu otrdienas atjauninājumi.
Līdz šim 2021. gadā CVE ir bijis diezgan daudz, katru mēnesi atklājot šādus skaitļus:
- Janvāris: 91
- Februāris: 106
- Marts: 97
Aprīļa CVE ziņojumā ir iekļauti 124 identificēti CVE
Adobe produktos atrastās ievainojamības
Kas attiecas uz Adobe produktiem, kopumā tika identificēti 10 CVE, kas ietekmēja Adobe Photoshop, Digital Editions, RoboHelp un Bridge.
Tikai ar Bridge atjauninājumu tika novērsti 6 no šiem CVE, tādēļ, ja izmantojat programmu, jaunākā atjauninājuma iegūšana ir gandrīz obligāta.
Ciktāl tas attiecas uz smaguma pakāpi, 10 Adobe specifiskie CVE tika vērtēti šādi:
- 6 CVE tika novērtēti kā Kritisks
- 4 CVE bija Saistīts ar tiltu
- 2 CVE bija Saistīts ar Photoshop
- 4 CVE tika novērtēti kā Svarīgs
Microsoft produktos atrastās ievainojamības
Kā vienmēr, Microsoft produkti paņēma lielāko daļu atklāto CVE, un tikai to skaits pārsniedza 100 atzīmi.
Šīs CVE ietekmēja tādas programmas kā Microsoft Windows, Edge (balstīta uz Chromium), Azure un Azure DevOps Serveris, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio un Exchange Serveris.
Ciktāl tas ir milzīgs skaits, tas ir lielākais CVE skaits, kas atrasts 2021. gadā, sasniedzot līmeni, kas salīdzināms ar 2020. gadu.
Kas attiecas uz šo 114 kļūdu smagumu, tās tika novērtētas šādi:
- 19 ir novērtēti kā Kritisks
- 88 ir novērtēti Svarīgs
- Viens ir novērtēts Mērens smaguma pakāpē.
Kuras bija smagākās CVE?
Kā vienmēr, daži CVE izceļas no pārējiem to smaguma, izmantošanas veida vai vienkārši ar to, cik grūti ir rīkoties, kad tos izmanto.
-
CVE-2021-28480/28481
- Microsoft Exchange Server attālās koda izpildes ievainojamība
-
CVE-2021-28329
- Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība
-
CVE-2021-28444
- Windows Hyper-V drošības funkciju apiet ievainojamību
Pilnu CVE sarakstu skatiet šajā tabulā:
CVE |
Nosaukums |
Smagums |
| CVE-2021-28310 | Win32k privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28458 | Azure ms-rest-nodeauth bibliotēka Privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-27091 | RPC Endpoint Mapper pakalpojuma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28437 | Windows Installer informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28312 | Windows NTFS pakalpojuma atteikuma ievainojamība | Mērens |
| CVE-2021-28460 | Azure Sphere neparakstītā koda izpildes ievainojamība | Kritisks |
| CVE-2021-28480 | Microsoft Exchange Server attālās koda izpildes ievainojamība | Kritisks |
| CVE-2021-28481 | Microsoft Exchange Server attālās koda izpildes ievainojamība | Kritisks |
| CVE-2021-28482 | Microsoft Exchange Server attālās koda izpildes ievainojamība | Kritisks |
| CVE-2021-28483 | Microsoft Exchange Server attālās koda izpildes ievainojamība | Kritisks |
| CVE-2021-28329 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28330 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28331 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28332 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28333 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28334 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28335 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28336 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28337 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28338 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28339 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28343 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-27095 | Windows Media Video Decoder koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-28315 | Windows Media Video Decoder koda attālās izpildes ievainojamība | Kritisks |
| CVE-2021-27092 | Azure AD tīmekļa pierakstīšanās drošības līdzekļa apejamā ievainojamība | Svarīgs |
| CVE-2021-27067 | Azure DevOps servera un Team Foundation servera informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28459 | Azure DevOps Server un Team Foundation Services spoofing ievainojamība | Svarīgs |
| CVE-2021-28313 | Diagnostikas centra standarta kolektoru pakalpojuma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28321 | Diagnostikas centra standarta kolektoru pakalpojuma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28322 | Diagnostikas centra standarta kolektoru pakalpojuma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28456 | Microsoft Excel informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28451 | Microsoft Excel attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28454 | Microsoft Excel attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-27089 | Microsoft Internet Messaging API attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28449 | Microsoft Office attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28452 | Microsoft Outlook atmiņas bojājumu ievainojamība | Svarīgs |
| CVE-2021-28450 | Microsoft SharePoint pakalpojuma atteikuma atjauninājums | Svarīgs |
| CVE-2021-28317 | Microsoft Windows kodeku bibliotēkas informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28453 | Microsoft Word attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-27096 | NTFS privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28466 | Neapstrādāta attēla paplašinājuma koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28468 | Neapstrādāta attēla paplašinājuma koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28471 | Attālās izstrādes paplašinājums Visual Studio koda attālās koda izpildes ievainojamībai | Svarīgs |
| CVE-2021-28327 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28340 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28341 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28342 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28344 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28345 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28346 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28352 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28353 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28354 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28355 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28356 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28357 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28358 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28434 | Attālās procedūras izsaukuma izpildlaika koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28470 | Visual Studio koda GitHub izvilkšanas pieprasījumi un izsniedz paplašinājuma attālās koda izpildes ievainojamību | Svarīgs |
| CVE-2021-28448 | Visual Studio koda Kubernetes rīku koda attālās izpildes ievainojamība | Svarīgs |
| CVE-2021-28472 | Visual Studio Code Maven Java paplašinājuma attālās koda izpildes ievainojamībai | Svarīgs |
| CVE-2021-28457 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28469 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28473 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28475 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28477 | Visual Studio koda attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-27064 | Visual Studio instalētāja privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28464 | VP9 video paplašinājumu attālā koda izpildes ievainojamība | Svarīgs |
| CVE-2021-27072 | Win32k privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28311 | Windows lietojumprogrammu kešatmiņas pakalpojuma lieguma ievainojamība | Svarīgs |
| CVE-2021-28326 | Windows AppX izvietošanas servera pakalpojuma lieguma ievainojamība | Svarīgs |
| CVE-2021-28438 | Windows konsoles draivera pakalpojuma atteikuma ievainojamība | Svarīgs |
| CVE-2021-28443 | Windows konsoles draivera pakalpojuma atteikuma ievainojamība | Svarīgs |
| CVE-2021-28323 | Windows DNS informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28328 | Windows DNS informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-27094 | Windows savlaicīga palaišana pret ļaunprātīgas programmatūras draivera drošības funkciju apiet ievainojamību | Svarīgs |
| CVE-2021-28447 | Windows savlaicīga palaišana pret ļaunprātīgas programmatūras draivera drošības funkciju apiet ievainojamību | Svarīgs |
| CVE-2021-27088 | Windows notikumu izsekošanas privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28435 | Windows notikumu izsekošanas informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28318 | Windows GDI + informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28348 | Windows GDI + attālā koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28349 | Windows GDI + attālā koda izpildes ievainojamība | Svarīgs |
| CVE-2021-28350 | Windows GDI + attālā koda izpildes ievainojamība | Svarīgs |
| CVE-2021-26416 | Windows Hyper-V pakalpojuma atteikuma ievainojamība | Svarīgs |
| CVE-2021-28314 | Windows Hyper-V privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28441 | Windows Hyper-V informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28444 | Windows Hyper-V drošības funkciju apiet ievainojamību | Svarīgs |
| CVE-2021-26415 | Windows Installer paaugstināta privilēģiju ievainojamība | Svarīgs |
| CVE-2021-28440 | Windows Installer paaugstināta privilēģiju ievainojamība | Svarīgs |
| CVE-2021-26413 | Windows Installer spoofing ievainojamība | Svarīgs |
| CVE-2021-27093 | Windows kodola informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28309 | Windows kodola informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-27079 | Windows Media Photo Codec informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28445 | Windows tīkla failu sistēmas attālās koda izpildes ievainojamība | Svarīgs |
| CVE-2021-26417 | Windows pārklājuma filtra informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28446 | Windows portmapinga informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28320 | Windows resursu pārvaldnieka PSM pakalpojumu paplašinājuma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-27090 | Windows drošā kodola režīma privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-27086 | Windows pakalpojumu un kontroliera lietotņu privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28324 | Windows SMB informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28325 | Windows SMB informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28347 | Windows runas izpildlaika privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28351 | Windows runas izpildlaika privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28436 | Windows runas izpildlaika privilēģiju ievainojamības paaugstināšana | Svarīgs |
| CVE-2021-28319 | Windows TCP / IP draivera pakalpojuma lieguma ievainojamība | Svarīgs |
| CVE-2021-28439 | Windows TCP / IP draivera pakalpojuma lieguma ievainojamība | Svarīgs |
| CVE-2021-28442 | Windows TCP / IP informācijas atklāšanas ievainojamība | Svarīgs |
| CVE-2021-28316 | Windows WLAN automātiskās konfigurēšanas pakalpojuma drošības līdzeklis apiet ievainojamību | Svarīgs |
Tas noslēdz mūsu instruktāžu par šī mēneša CVE ziņojumu, un, kā redzat, skaitļi ir diezgan nemainīgi, tādēļ, ja izmantojat kādu no iepriekšminētajiem produktiem, mēģiniet atjaunināt pēc iespējas ātrāk vai instalējiet trešās puses antivīrusu rīku, kas jums palīdzēs ārā.
Paturiet prātā, ka šie CVE var būt diezgan bīstami, it īpaši, ja atjauninājumi netiek lietoti un jūs esat atstāts kā mērķis tādiem notikumiem kā ikmēneša Izmantojiet trešdienu, kas ir noniecinošs termins, kas piešķirts nākamajai dienai pēc ielāpa otrdienas.
Ko jūs domājat par šī mēneša CVE ziņojumu, atstājot atsauksmes zemāk esošajā komentāru sadaļā.
