- CVE's staan voorVeelvoorkomende kwetsbaarheden en blootstellingen, en ze variëren in vorm en wat ze beïnvloeden.
- Tijdens Patch Tuesday wordt een rapport van alle CVE's vrijgegeven voor het grote publiek.
- CVE's worden beoordeeld op basis van ernst, van Belangrijk tot de meer serieuze die als Kritiek worden beoordeeld.
- Lees meer over de CVE's van deze maand en update uw pc indien nodig.
We weten allemaal dat de focus van de Patch Tuesday-updates ligt op het verbeteren van de Windows-ervaring voor gebruikers, maar ze gaan niet alleen over het toevoegen, verbeteren en repareren van functies.
Een ander belangrijk aspect van deze updates zijn echter de beveiligingsverbeteringen die ermee gepaard gaan, en dat is eigenlijk waarom we iedereen aanraden deze updates te krijgen zodra ze beschikbaar zijn in je regio.
Welnu, 11 mei is hier, en dat geldt ook voor de Patch Tuesday-updates, en dit betekent dat de CVE-rapporten er ook zijn.
Tot nu toe is 2021 vrij overvloedig geweest in CVE's, met de volgende aantallen die elke maand worden ontdekt:
- Januari: 91
- Februari: 106
- Maart: 97
- April: 124
Al met al is hier een kort overzicht van de CVE-situatie van deze maand voor zowel Adobe- als Microsoft-gerelateerde producten, en we zullen ook enkele van de ernstiger gedetecteerde producten belichten.
Het CVE-rapport van mei bevat 98 geïdentificeerde CVE's
Kwetsbaarheden gevonden in Adobe-producten
Adobe heeft in totaal 12 patches uitgebracht die bedoeld zijn om 43 geïdentificeerde CVE's te repareren die van invloed waren op Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat en Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium en animeren.
Van de 43 Adobe CVE's waren er 14 gericht op Adobe Acrobat Reader, waarvan er één nog niet is opgelost, en ze kunnen worden gebruikt om gebruikersgegevens te misbruiken via gewijzigde PDF's die in Acrobat zijn geopend.
Kwetsbaarheden gevonden in Microsoft-producten
Het grootste deel van het CVE-rapport van deze maand bestaat, zoals altijd, uit de Microsoft-gerelateerde CVE's, en ze tellen op tot een totaal van 55.
Deze CVE's zijn gericht op Microsoft Windows, .NET Core en Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, Open Source-software, Hyper-V, Skype voor Bedrijven en Microsoft Lync en Exchange Server.
Wat de ernst van deze 55 bugs betreft, werden ze als volgt beoordeeld:
- 4 worden beoordeeld als Kritiek
- 50 zijn beoordeeld Belangrijk
- Eén is beoordeeld Matig in ernst.
Welke waren enkele van de meest ernstige CVE's?
Sommige CVE's vallen in dit rapport op door hoe gemakkelijk ze te exploiteren zijn, of door de populariteit van het programma dat het doelwit was, en het zijn de volgende:
-
CVE-2021-31166
- Kwetsbaarheid voor uitvoering van externe code in HTTP-protocolstack
-
CVE-2021-28476
- Kwetsbaarheid bij uitvoering van externe code in Hyper-V
-
CVE-2021-27068
- Beveiligingslek met betrekking tot de uitvoering van externe code in Visual Studio
-
CVE-2020-24587
- Kwetsbaarheid van openbaarmaking van informatie over draadloze netwerken in Windows
Hier is een volledige lijst van alle CVE's die in het rapport van deze maand zijn opgenomen:
CVE |
Titel |
Ernst |
| CVE-2021-31204 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in .NET Core en Visual Studio | Belangrijk |
| CVE-2021-31200 | Veelvoorkomende hulpprogramma's Kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-31207 | Beveiligingsprobleem Microsoft Exchange Server-beveiligingsfunctie omzeilen | Matig |
| CVE-2021-31166 | Kwetsbaarheid voor uitvoering van externe code in HTTP-protocolstack | Kritiek |
| CVE-2021-28476 | Kwetsbaarheid bij uitvoering van externe code in Hyper-V | Kritiek |
| CVE-2021-31194 | Kwetsbaarheid voor uitvoering van externe code in OLE-automatisering | Kritiek |
| CVE-2021-26419 | Scripting Engine Geheugencorruptie Kwetsbaarheid | Kritiek |
| CVE-2021-28461 | Dynamics Finance and Operations Cross-site scripting-kwetsbaarheid | Belangrijk |
| CVE-2021-31936 | Microsoft Accessibility Insights voor het beveiligingslek met betrekking tot openbaarmaking van webinformatie | Belangrijk |
| CVE-2021-31182 | Microsoft Bluetooth Driver Spoofing Kwetsbaarheid | Belangrijk |
| CVE-2021-31174 | Beveiligingslek met betrekking tot openbaarmaking van informatie in Microsoft Excel | Belangrijk |
| CVE-2021-31195 | Kwetsbaarheid voor uitvoering van externe code van Microsoft Exchange Server | Belangrijk |
| CVE-2021-31198 | Kwetsbaarheid voor uitvoering van externe code van Microsoft Exchange Server | Belangrijk |
| CVE-2021-31209 | Kwetsbaarheid van Microsoft Exchange Server-spoofing | Belangrijk |
| CVE-2021-28455 | Microsoft Jet Red Database Engine en Access Connectivity Engine Kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-31180 | Kwetsbaarheid voor uitvoering van externe code in Microsoft Office Graphics | Belangrijk |
| CVE-2021-31178 | Kwetsbaarheid van openbaarmaking van Microsoft Office-informatie | Belangrijk |
| CVE-2021-31175 | Kwetsbaarheid bij uitvoering van externe code in Microsoft Office | Belangrijk |
| CVE-2021-31176 | Kwetsbaarheid bij uitvoering van externe code in Microsoft Office | Belangrijk |
| CVE-2021-31177 | Kwetsbaarheid bij uitvoering van externe code in Microsoft Office | Belangrijk |
| CVE-2021-31179 | Kwetsbaarheid bij uitvoering van externe code in Microsoft Office | Belangrijk |
| CVE-2021-31171 | Kwetsbaarheid van de openbaarmaking van informatie in Microsoft SharePoint | Belangrijk |
| CVE-2021-31181 | Kwetsbaarheid voor uitvoering van externe code in Microsoft SharePoint | Belangrijk |
| CVE-2021-31173 | Kwetsbaarheid van openbaarmaking van informatie op Microsoft SharePoint-server | Belangrijk |
| CVE-2021-28474 | Kwetsbaarheid voor uitvoering van externe code in Microsoft SharePoint Server | Belangrijk |
| CVE-2021-26418 | Kwetsbaarheid van Microsoft SharePoint-spoofing | Belangrijk |
| CVE-2021-28478 | Kwetsbaarheid van Microsoft SharePoint-spoofing | Belangrijk |
| CVE-2021-31172 | Kwetsbaarheid van Microsoft SharePoint-spoofing | Belangrijk |
| CVE-2021-31184 | Microsoft Windows Infrared Data Association (IrDA) beveiligingslek met betrekking tot openbaarmaking van informatie | Belangrijk |
| CVE-2021-26422 | Kwetsbaarheid voor uitvoering van externe code in Skype voor Bedrijven en Lync | Belangrijk |
| CVE-2021-26421 | Kwetsbaarheid van Skype voor Bedrijven en Lync-spoofing | Belangrijk |
| CVE-2021-31214 | Beveiligingslek met betrekking tot uitvoering van externe code in Visual Studio Code | Belangrijk |
| CVE-2021-31211 | Extensie voor externe ontwikkeling van Visual Studio Code Kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-31213 | Extensie voor externe ontwikkeling van Visual Studio Code Kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-27068 | Beveiligingslek met betrekking tot de uitvoering van externe code in Visual Studio | Belangrijk |
| CVE-2021-28465 | Webmedia-extensies Kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-31190 | Windows Container Isolation FS-filterstuurprogramma misbruik van bevoegdheden Kwetsbaarheid | Belangrijk |
| CVE-2021-31165 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Container Manager-service | Belangrijk |
| CVE-2021-31167 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Container Manager-service | Belangrijk |
| CVE-2021-31168 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Container Manager-service | Belangrijk |
| CVE-2021-31169 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Container Manager-service | Belangrijk |
| CVE-2021-31208 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Container Manager-service | Belangrijk |
| CVE-2021-28479 | Kwetsbaarheid van openbaarmaking van informatie over Windows CSC-service | Belangrijk |
| CVE-2021-31185 | Beveiligingslek met betrekking tot denial of service in Windows Desktop Bridge | Belangrijk |
| CVE-2021-31170 | Beveiligingslek met betrekking tot misbruik van bevoegdheden van Windows Graphics | Belangrijk |
| CVE-2021-31188 | Beveiligingslek met betrekking tot misbruik van bevoegdheden van Windows Graphics | Belangrijk |
| CVE-2021-31192 | Windows Media Foundation Core kwetsbaarheid voor uitvoering van externe code | Belangrijk |
| CVE-2021-31191 | Windows Projected File System FS Filter Driver Information Disclosure Kwetsbaarheid | Belangrijk |
| CVE-2021-31186 | Beveiligingslek met betrekking tot het vrijgeven van informatie in Windows Remote Desktop Protocol (RDP) | Belangrijk |
| CVE-2021-31205 | Beveiligingsprobleem voor omzeilen van beveiligingsfunctie van Windows SMB-client | Belangrijk |
| CVE-2021-31193 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows SSDP-service | Belangrijk |
| CVE-2021-31187 | Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows WalletService | Belangrijk |
| CVE-2020-24587 | Kwetsbaarheid van openbaarmaking van informatie over draadloze netwerken in Windows | Belangrijk |
| CVE-2020-24588 | Kwetsbaarheid van Windows Wireless Networking Spoofing | Belangrijk |
| CVE-2020-26144 | Kwetsbaarheid van Windows Wireless Networking Spoofing | Belangrijk |
Dat gezegd hebbende, sluiten we ons overzicht van het CVE-rapport van deze maand af, en we raden iedereen aan: als u een van de betrokken Adobe- of Microsoft-producten gebruikt, past u de nieuwste Patch Tuesday-updates toe zodra mogelijk.
Aan de andere kant kunnen gebruikers het altijd proberen antivirusprogramma's van derden om te helpen met de beveiliging, omdat ze net zo goed, zo niet beter werken dan het updaten van uw pc.
Laat ons weten wat u van het CVE-rapport van deze maand vindt door ons uw feedback te geven in de opmerkingen hieronder.
