- 97 różnych CVE zostało zidentyfikowanych zgodnie z raportami, które pojawiły się we wtorek z poprawką.
- 89 dotyczyło produktów Microsoft, a tylko 8 dotyczyło produktów Adobe.
- Chociaż niektóre CVE rzeczywiście zostały ocenione jako krytyczne, większość z nich oceniono jako ważne.
- Przeczytaj więcej o tym, na co wpływa każdy CVE i jak się objawia.
Świat cyfrowy toczy nieustający wyścig zbrojeń między oprogramowaniem, złośliwym oprogramowaniem i narzędziami używanymi do ochrony przed złośliwym oprogramowaniem.
Cóż, kolejna runda tej wojny została zakończona teraz, gdy Wtorkowy patch marcowy aktualizacje są tutaj, ponieważ pojawiły się nowe raporty o odkrytych CVE.
Jak dotąd rok 2021 był dość obfity w CVE, a co miesiąc odkrywane są następujące liczby:
- Styczeń: 91
- Luty: 106
Wygląda na to, że marzec również jest dość obfity, gdyż odkryto 97 CVE, z których wszystkie zostaną omówione bardziej szczegółowo w poniższym artykule:
Raport CVE z marca zawiera 97 zidentyfikowanych CVE
Luki wykryte w produktach Adobe
Z 97 CVE znalezionych w tym miesiącu tylko 8 należało do programów Adobe, a dokładniej Adobe Connect, Creative Cloud Desktop i Framemaker.
Spośród 8 zidentyfikowanych CVE 4 oceniono jako Krytyczny podczas gdy pozostałe 4 zostały ocenione jako Ważny.
Luki wykryte w produktach Microsoft
Jak zawsze, większość zidentyfikowanych CVE znajduje się w produktach Microsoftu, których 89 znaleziono tylko w tym miesiącu.
Te CV dotyczyły wielu usług firmy Microsoft, w tym składników Microsoft Windows, Azure i Azure DevOps, Azure Sphere, Internet Explorer i Edge (EdgeHTML), Exchange Server, Office i innych.
4 z tych luk zostały uznane za aktywne atakowane, więc mniejsza poprawka, która je natychmiast naprawiła, została wydana przed regularnym harmonogramem wtorkowej łaty.
Spośród tych 89 błędów zostały one ocenione w następujący sposób:
- 14 są wymienione jako Krytyczny
- 75 są wymienione jako Ważny w surowości.
Jakie były jedne z najcięższych CVE?
Chociaż wszystkie CVE należy uznać za godne uwagi, niektóre wyróżniały się ze względu na ich powagę lub sposób, w jaki się zachowywały:
-
CVE-2021-26897
- Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows
-
CVE-2021-26867
- Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w funkcji Windows Hyper-V
-
CVE-2021-27076
- Luka umożliwiająca zdalne wykonanie kodu programu Microsoft SharePoint Server
-
CVE-2021-26411
- Luka w zabezpieczeniach programu Internet Explorer związana z uszkodzeniem pamięci
Wszystkie inne zidentyfikowane CVE są wymienione w poniższej tabeli:
CVE |
Tytuł |
Surowość |
| CVE-2021-26411 | Luka w zabezpieczeniach programu Internet Explorer związana z uszkodzeniem pamięci | Krytyczny |
| CVE-2021-26855 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Krytyczny |
| CVE-2021-26857 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Krytyczny |
| CVE-2021-27065 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Krytyczny |
| CVE-2021-26858 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Ważny |
| CVE-2021-27077 | Luka w zabezpieczeniach systemu Windows Win32k dotycząca podniesienia uprawnień | Ważny |
| CVE-2021-27074 | Luka w zabezpieczeniach Azure Sphere umożliwiająca wykonanie niepodpisanego kodu | Krytyczny |
| CVE-2021-27080 | Luka w zabezpieczeniach Azure Sphere umożliwiająca wykonanie niepodpisanego kodu | Krytyczny |
| CVE-2021-21300 | Git dla luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w programie Visual Studio | Krytyczny |
| CVE-2021-24089 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Krytyczny |
| CVE-2021-26902 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Krytyczny |
| CVE-2021-27061 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Krytyczny |
| CVE-2021-26412 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Krytyczny |
| CVE-2021-26876 | Luka umożliwiająca zdalne wykonanie kodu podczas parsowania czcionek OpenType | Krytyczny |
| CVE-2021-26897 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Krytyczny |
| CVE-2021-26867 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w funkcji Windows Hyper-V | Krytyczny |
| CVE-2021-26890 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu wirtualizacji aplikacji | Ważny |
| CVE-2021-27075 | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji o maszynie wirtualnej platformy Azure | Ważny |
| CVE-2021-24095 | Podatność na podniesienie uprawnień DirectX | Ważny |
| CVE-2021-24110 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27047 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27048 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27049 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27050 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27051 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27062 | Rozszerzenia wideo HEVC Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27085 | Luka w zabezpieczeniach programu Internet Explorer umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27053 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Excel | Ważny |
| CVE-2021-27054 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Excel | Ważny |
| CVE-2021-26854 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Ważny |
| CVE-2021-27078 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft Exchange Server | Ważny |
| CVE-2021-27058 | Luka umożliwiająca zdalne wykonanie kodu Microsoft Office ClickToRun | Ważny |
| CVE-2021-24108 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-27057 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-27059 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office | Ważny |
| CVE-2021-26859 | Luka w zabezpieczeniach usługi Microsoft Power BI umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-27056 | Luka w zabezpieczeniach programu Microsoft PowerPoint umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27052 | Luka w zabezpieczeniach programu Microsoft SharePoint Server umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-27076 | Luka umożliwiająca zdalne wykonanie kodu programu Microsoft SharePoint Server | Ważny |
| CVE-2021-24104 | Luka w zabezpieczeniach Microsoft SharePoint Spoofing | Ważny |
| CVE-2021-27055 | Luka umożliwiająca obejście funkcji zabezpieczeń programu Microsoft Visio | Ważny |
| CVE-2021-26887 | Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień przekierowania folderu systemu Microsoft Windows | Ważny |
| CVE-2021-26881 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w programie Microsoft Windows Media Foundation | Ważny |
| CVE-2021-27082 | Quantum Development Kit dla luki w zabezpieczeniach Visual Studio Code umożliwiającej zdalne wykonanie kodu | Ważny |
| CVE-2021-26882 | Luka dotycząca podniesienia uprawnień interfejsu API dostępu zdalnego | Ważny |
| CVE-2021-27083 | Rozszerzenie do programowania zdalnego dla luki w zabezpieczeniach kodu Visual Studio Code umożliwiającej zdalne wykonanie kodu | Ważny |
| CVE-2021-26880 | Podatność na podniesienie uprawnień kontrolera przestrzeni dyskowych | Ważny |
| CVE-2021-26886 | Luka w zabezpieczeniach profilu użytkownika powodująca odmowę usługi | Ważny |
| CVE-2021-27081 | Luka w zabezpieczeniach rozszerzenia Visual Studio Code ESLint umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27084 | Luka w zabezpieczeniach pakietu Visual Studio Code Java Extension Pack umożliwiająca zdalne wykonanie kodu | Ważny |
| CVE-2021-27060 | Luka umożliwiająca zdalne wykonanie kodu programu Visual Studio Code | Ważny |
| CVE-2021-27070 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień Asystenta aktualizacji systemu Windows 10 | Ważny |
| CVE-2021-26869 | Luka w zabezpieczeniach usługi Instalator ActiveX systemu Windows umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-27066 | Luka w zabezpieczeniach dotycząca obejścia funkcji zabezpieczeń w Centrum administracyjnym systemu Windows | Ważny |
| CVE-2021-26860 | Podatność filtra nakładki App-V w systemie Windows podnosząca poziom uprawnień | Ważny |
| CVE-2021-26865 | Luka w zabezpieczeniach związana z podniesieniem uprawnień agenta wykonywania kontenerów systemu Windows | Ważny |
| CVE-2021-26891 | Luka w zabezpieczeniach związana z podniesieniem uprawnień agenta wykonywania kontenerów systemu Windows | Ważny |
| CVE-2021-26896 | Luka w zabezpieczeniach serwera DNS systemu Windows polegająca na odmowie usługi | Ważny |
| CVE-2021-27063 | Luka w zabezpieczeniach serwera DNS systemu Windows polegająca na odmowie usługi | Ważny |
| CVE-2021-26877 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Ważny |
| CVE-2021-26893 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Ważny |
| CVE-2021-26894 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Ważny |
| CVE-2021-26895 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows | Ważny |
| CVE-2021-24090 | Podatność na podniesienie uprawnień w systemie Windows raportowanie błędów | Ważny |
| CVE-2021-26872 | Luka w zabezpieczeniach związana ze śledzeniem zdarzeń systemu Windows w zakresie podniesienia uprawnień | Ważny |
| CVE-2021-26898 | Luka w zabezpieczeniach związana ze śledzeniem zdarzeń systemu Windows w zakresie podniesienia uprawnień | Ważny |
| CVE-2021-26901 | Luka w zabezpieczeniach związana ze śledzeniem zdarzeń systemu Windows w zakresie podniesienia uprawnień | Ważny |
| CVE-2021-24107 | Luka w zabezpieczeniach umożliwiająca ujawnienie informacji śledzenia zdarzeń systemu Windows | Ważny |
| CVE-2021-26892 | Luka umożliwiająca obejście funkcji zabezpieczeń interfejsu rozszerzalnego oprogramowania układowego systemu Windows | Ważny |
| CVE-2021-26868 | Luka umożliwiająca podniesienie uprawnień składnika graficznego systemu Windows | Ważny |
| CVE-2021-26861 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu składnika graficznego systemu Windows | Ważny |
| CVE-2021-26862 | Luka dotycząca podniesienia uprawnień Instalatora Windows | Ważny |
| CVE-2021-26884 | Luka w zabezpieczeniach kodeku fotograficznego Windows Media umożliwiająca ujawnienie informacji | Ważny |
| CVE-2021-26879 | Luka w zabezpieczeniach systemu Windows NAT polegająca na odmowie usługi | Ważny |
| CVE-2021-26874 | Luka dotycząca podniesienia uprawnień filtra nakładki systemu Windows | Ważny |
| CVE-2021-1640 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny |
| CVE-2021-26878 | Luka dotycząca podniesienia uprawnień bufora wydruku systemu Windows | Ważny |
| CVE-2021-26870 | Luka w zabezpieczeniach systemu plików związana z przewidywanym podniesieniem uprawnień systemu plików | Ważny |
| CVE-2021-26866 | Luka dotycząca podniesienia uprawnień usługi Windows Update | Ważny |
| CVE-2021-26889 | Luka dotycząca podwyższenia uprawnień w stosie usługi Windows Update Update | Ważny |
| CVE-2021-1729 | Podniesienie poziomu luki w zabezpieczeniach stosu Windows Update w konfiguracji stosu | Ważny |
| CVE-2021-26899 | Luka dotycząca podniesienia uprawnień hosta urządzenia UPnP systemu Windows | Ważny |
| CVE-2021-26873 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień usługi profilu użytkownika systemu Windows | Ważny |
| CVE-2021-26864 | Luka dotycząca podniesienia uprawnień dostawcy rejestru wirtualnego systemu Windows | Ważny |
| CVE-2021-26871 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Windows WalletService Pri | Ważny |
| CVE-2021-26885 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Windows WalletService Pri | Ważny |
| CVE-2021-26863 | Luka w zabezpieczeniach systemu Windows Win32k dotycząca podniesienia uprawnień | Ważny |
| CVE-2021-26875 | Luka w zabezpieczeniach systemu Windows Win32k dotycząca podniesienia uprawnień | Ważny |
| CVE-2021-26900 | Luka w zabezpieczeniach systemu Windows Win32k dotycząca podniesienia uprawnień | Ważny |
Styczeń i luty 2021 rozpoczęły się już od trendu wzrostowego pod względem liczby CVE, ale wydaje się, że marzec przyniósł dla odmiany mniej.
Pamiętaj, że jeśli korzystasz z któregokolwiek z wyżej wymienionych produktów i usług firmy Microsoft lub Adobe, jesteś lepszy ryzyko z powodu wyżej wymienionych luk, więc pamiętaj, aby pobrać i zainstalować najnowszą łatkę we wtorek aktualizacje.
Może to również pomóc w korzystaniu z narzędzi antywirusowych innych firm, ale oznacza to wydawanie trochę więcej, podczas gdy aktualizacje wtorkowej łatki są i zawsze będą bezpłatne.
Jakie jest Twoje zdanie na temat raportu CVE z tego miesiąca?
Daj nam znać, czy CVE powinny być problemem dla ogółu społeczeństwa, zostawiając nam swoją opinię w sekcji komentarzy poniżej.
