- CVE oznaczająTypowe podatności i ekspozycje, różnią się formą i oddziaływaniem.
- Podczas wtorkowego patcha, raport o wszystkich CVE jest upubliczniany do wiadomości publicznej.
- CVE są oceniane na podstawie istotności, od Ważne do poważniejszych ocenianych jako Krytyczne.
- Przeczytaj więcej o CVE w tym miesiącu i zaktualizuj swój komputer w razie potrzeby.
Wszyscy wiemy, że celem aktualizacji wtorkowych poprawek jest poprawa obsługi systemu Windows dla użytkowników, ale nie chodzi tylko o dodawanie, ulepszanie i naprawianie funkcji.
Jednak innym kluczowym aspektem tych aktualizacji są ulepszenia bezpieczeństwa, które są z nimi związane, a to jest właściwie dlatego zalecamy, aby wszyscy otrzymywali te aktualizacje, gdy tylko staną się dostępne w twoim region.
Cóż, 11 maja jest tutaj, podobnie jak aktualizacje z wtorkowej łatki, a to oznacza, że raporty CVE są tutaj również.
Jak dotąd rok 2021 był dość obfity w CVE, a co miesiąc odkrywane są następujące liczby:
- Styczeń: 91
- Luty: 106
- Marsz: 97
- Kwiecień: 124
Podsumowując, oto krótkie podsumowanie sytuacji CVE w tym miesiącu zarówno dla produktów Adobe, jak i Microsoft, a także podkreślimy niektóre z wykrytych poważniejszych.
Majowy raport CVE zawiera 98 zidentyfikowanych CVE
Luki wykryte w produktach Adobe
Firma Adobe wydała łącznie 12 poprawek, które mają na celu naprawienie 43 zidentyfikowanych CVE, które miały wpływ na Experience Manager, InDesign, Illustrator, InCopy, oryginalna usługa Adobe, Acrobat i Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium i Animować.
Spośród 43 wszystkich Adobe CVE, 14 atakowało Adobe Acrobat Reader, z których jeden wciąż nie został rozwiązany i mogą być wykorzystywane do wykorzystywania danych użytkownika za pośrednictwem zmodyfikowanych plików PDF otwieranych w programie Acrobat.
Luki wykryte w produktach Microsoft
Większość tego miesięcznego raportu CVE, jak zawsze, to CVE związane z Microsoft, a ich łączna liczba wynosi 55.
Te CVE są skierowane do systemów Microsoft Windows, .NET Core i Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, oprogramowanie Open Source, Hyper-V, Skype dla firm, Microsoft Lync i Exchange Serwer.
Jeśli chodzi o wagę tych 55 błędów, zostały one ocenione w następujący sposób:
- 4 są oceniane jako Krytyczny
- 50 jest ocenianych Ważny
- Jeden jest oceniany Umiarkowany w surowości.
Jakie były jedne z najcięższych CVE?
Niektóre CVE wyróżniają się w tym raporcie albo ze względu na łatwość ich wykorzystania, albo popularność programu, który był celem, i są one następujące:
-
CVE-2021-31166
- Luka umożliwiająca zdalne wykonanie kodu stosu protokołu HTTP
-
CVE-2021-28476
- Luka w zabezpieczeniach Hyper-V umożliwiająca zdalne wykonanie kodu
-
CVE-2021-27068
- Luka w zabezpieczeniach programu Visual Studio umożliwiająca zdalne wykonanie kodu
-
CVE-2020-24587
- Luka w zabezpieczeniach sieci bezprzewodowej w systemie Windows umożliwiająca ujawnienie informacji
Oto pełna lista wszystkich CVE zawartych w raporcie z tego miesiąca:
CVE |
Tytuł |
Surowość |
| CVE-2021-31204 | Luka dotycząca podniesienia uprawnień w platformach .NET Core i Visual Studio | Ważny |
| CVE-2021-31200 | Luka w zabezpieczeniach typowych narzędzi umożliwiających zdalne wykonanie kodu | Ważny |
| CVE-2021-31207 | Luka umożliwiająca obejście funkcji zabezpieczeń serwera Microsoft Exchange | Umiarkowany |
| CVE-2021-31166 | Luka umożliwiająca zdalne wykonanie kodu stosu protokołu HTTP | Krytyczny |
| CVE-2021-28476 | Luka w zabezpieczeniach Hyper-V umożliwiająca zdalne wykonanie kodu | Krytyczny |
| CVE-2021-31194 | Luka umożliwiająca zdalne wykonanie kodu automatyzacji OLE Automation | Krytyczny |
| CVE-2021-26419 | Luka w zabezpieczeniach związana z uszkodzeniem pamięci mechanizmu skryptów | Krytyczny |
| CVE-2021-28461 | Luka w zabezpieczeniach Dynamics Finance and Operations związana z wykonywaniem skryptów między witrynami | Ważny |
| CVE-2021-31936 | Usługa Microsoft Accessibility Insights dotycząca luki w zabezpieczeniach umożliwiającej ujawnienie informacji w sieci Web | Ważny |
| CVE-2021-31182 | Luka w zabezpieczeniach sterownika Bluetooth firmy Microsoft umożliwiająca fałszowanie | Ważny |
| CVE-2021-31174 | Luka w zabezpieczeniach programu Microsoft Excel umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31195 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Ważny |
| CVE-2021-31198 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Ważny |
| CVE-2021-31209 | Luka w zabezpieczeniach serwera Microsoft Exchange umożliwiająca fałszowanie | Ważny |
| CVE-2021-28455 | Luka w zabezpieczeniach aparatu bazy danych Microsoft Jet Red i aparatu łączności dostępu umożliwiającego zdalne wykonanie kodu | Ważny |
| CVE-2021-31180 | Luka umożliwiająca zdalne wykonanie kodu w Microsoft Office Graphics Ex | Ważny |
| CVE-2021-31178 | Luka w zabezpieczeniach pakietu Microsoft Office umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31175 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-31176 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-31177 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-31179 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-31171 | Luka w zabezpieczeniach programu Microsoft SharePoint umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31181 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft SharePoint Microsoft | Ważny |
| CVE-2021-31173 | Luka w zabezpieczeniach programu Microsoft SharePoint Server umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-28474 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft SharePoint Server | Ważny |
| CVE-2021-26418 | Luka w zabezpieczeniach Microsoft SharePoint Spoofing | Ważny |
| CVE-2021-28478 | Luka w zabezpieczeniach Microsoft SharePoint Spoofing | Ważny |
| CVE-2021-31172 | Luka w zabezpieczeniach Microsoft SharePoint Spoofing | Ważny |
| CVE-2021-31184 | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w systemie Microsoft Windows Infrared Data Association (IrDA) | Ważny |
| CVE-2021-26422 | Luka w zabezpieczeniach programu Skype dla firm i Lync umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-26421 | Luka w zabezpieczeniach programu Skype dla firm i Lync umożliwiająca fałszowanie | Ważny |
| CVE-2021-31214 | Luka umożliwiająca zdalne wykonanie kodu programu Visual Studio Code | Ważny |
| CVE-2021-31211 | Rozszerzenie do programowania zdalnego Visual Studio Code Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-31213 | Rozszerzenie do programowania zdalnego Visual Studio Code Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27068 | Luka w zabezpieczeniach programu Visual Studio umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-28465 | Luka w zabezpieczeniach rozszerzeń multimediów w sieci Web umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-31190 | Windows Container Isolation FS Filter Driver Podatność na podniesienie uprawnień . | Ważny |
| CVE-2021-31165 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi Windows Container Manager | Ważny |
| CVE-2021-31167 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi Windows Container Manager | Ważny |
| CVE-2021-31168 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi Windows Container Manager | Ważny |
| CVE-2021-31169 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi Windows Container Manager | Ważny |
| CVE-2021-31208 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi Windows Container Manager | Ważny |
| CVE-2021-28479 | Luka w zabezpieczeniach usługi Windows CSC umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31185 | Luka w zabezpieczeniach związana z odmową usługi mostka pulpitu systemu Windows | Ważny |
| CVE-2021-31170 | Luka umożliwiająca podniesienie uprawnień składnika graficznego systemu Windows | Ważny |
| CVE-2021-31188 | Luka umożliwiająca podniesienie uprawnień składnika graficznego systemu Windows | Ważny |
| CVE-2021-31192 | Luka w zabezpieczeniach programu Windows Media Foundation Core umożliwiająca zdalne wykonanie kodu Core | Ważny |
| CVE-2021-31191 | Luka w zabezpieczeniach sterownika filtru FS przewidywanego systemu plików systemu Windows umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31186 | Luka w zabezpieczeniach protokołu pulpitu zdalnego systemu Windows (RDP) umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-31205 | Luka umożliwiająca obejście funkcji zabezpieczeń klienta SMB systemu Windows | Ważny |
| CVE-2021-31193 | Luka w zabezpieczeniach związana z podniesieniem uprawnień usługi SSDP systemu Windows | Ważny |
| CVE-2021-31187 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Windows WalletService Pri | Ważny |
| CVE-2020-24587 | Luka w zabezpieczeniach sieci bezprzewodowej w systemie Windows umożliwiająca ujawnienie informacji | Ważny |
| CVE-2020-24588 | Luka w zabezpieczeniach sieci bezprzewodowej w systemie Windows umożliwiająca fałszowanie | Ważny |
| CVE-2020-26144 | Luka w zabezpieczeniach sieci bezprzewodowej w systemie Windows umożliwiająca fałszowanie | Ważny |
Mając to na uwadze, zakończymy nasz przegląd raportu CVE z tego miesiąca i zalecamy, aby wszyscy: korzystając z dowolnego z produktów firmy Adobe lub Microsoft, których dotyczy problem, zastosuj najnowsze aktualizacje wtorkowej łaty, jak tylko możliwy.
Z drugiej strony użytkownicy zawsze mogli spróbować antywirusy innych firm aby pomóc w bezpieczeństwie, ponieważ działają równie dobrze, jeśli nie lepiej, niż aktualizacja komputera.
Daj nam znać, co myślisz o raporcie CVE z tego miesiąca, zostawiając nam swoją opinię w sekcji komentarzy poniżej.
