- CVEs representamVulnerabilidades e exposições comuns, e variam na forma e no que afetam.
- Durante a Patch Tuesday, um relatório de todos os CVEs é lançado para o público em geral.
- Os CVEs são classificados com base na gravidade, de Importante até os mais graves classificados como Críticos.
- Leia mais sobre os CVEs deste mês e atualize seu PC, se necessário.
Todos nós sabemos que o foco das atualizações do Patch Tuesday é a melhoria da experiência do Windows para os usuários, mas não se trata apenas de adicionar, aprimorar e corrigir recursos.
No entanto, outro aspecto importante para essas atualizações são as melhorias de segurança que vêm com elas, e isso é basicamente porque recomendamos que todos recebam essas atualizações assim que estiverem disponíveis em seu região.
Bem, 11 de maio está aqui, e também as atualizações de Patch Tuesday, e isso significa que os relatórios CVE estão aqui também.
Até agora, 2021 tem sido bastante abundante em CVEs, com os seguintes números sendo descobertos a cada mês:
- Janeiro: 91
- Fevereiro: 106
- Março: 97
- Abril: 124
Resumindo, aqui está um breve resumo da situação do CVE deste mês para os produtos da Adobe e da Microsoft, e também destacaremos alguns dos mais graves detectados.
O relatório CVE de maio inclui 98 CVEs identificados
Vulnerabilidades encontradas em produtos Adobe
A Adobe lançou um total de 12 patches destinados a corrigir 43 CVEs identificados que afetaram o Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat e Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium e Animar.
Do total de 43 CVEs da Adobe, 14 tinham como alvo o Adobe Acrobat Reader, um dos quais ainda não foi resolvido, e eles podem ser usados para explorar dados do usuário por meio de PDFs modificados abertos no Acrobat.
Vulnerabilidades encontradas em produtos Microsoft
A maior parte do relatório CVE deste mês, como sempre, são os CVEs relacionados à Microsoft, e eles somam um total geral de 55.
Esses CVEs são direcionados a Microsoft Windows, .NET Core e Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, software de código aberto, Hyper-V, Skype for Business e Microsoft Lync e Exchange Servidor.
No que diz respeito à gravidade desses 55 bugs, eles foram classificados da seguinte forma:
- 4 são classificados como Crítico
- 50 são avaliados Importante
- Um é avaliado Moderado em gravidade.
Quais foram alguns dos CVEs mais graves?
Alguns CVEs se destacam neste relatório pela facilidade de exploração ou pela popularidade do programa visado, e são os seguintes:
-
CVE-2021-31166
- Vulnerabilidade de execução remota de código de pilha de protocolo HTTP
-
CVE-2021-28476
- Vulnerabilidade de execução remota de código do Hyper-V
-
CVE-2021-27068
- Vulnerabilidade de execução remota de código do Visual Studio
-
CVE-2020-24587
- Vulnerabilidade de divulgação de informações de rede sem fio do Windows
Aqui está uma lista completa de todos os CVEs incluídos no relatório deste mês:
CVE |
Título |
Gravidade |
| CVE-2021-31204 | Vulnerabilidade de elevação de privilégio no .NET Core e no Visual Studio | Importante |
| CVE-2021-31200 | Vulnerabilidade de execução remota de código de utilitários comuns | Importante |
| CVE-2021-31207 | Vulnerabilidade de desvio de recurso de segurança do Microsoft Exchange Server | Moderado |
| CVE-2021-31166 | Vulnerabilidade de execução remota de código de pilha de protocolo HTTP | Crítico |
| CVE-2021-28476 | Vulnerabilidade de execução remota de código do Hyper-V | Crítico |
| CVE-2021-31194 | Vulnerabilidade de execução remota de código de automação OLE | Crítico |
| CVE-2021-26419 | Vulnerabilidade de corrupção de memória do mecanismo de script | Crítico |
| CVE-2021-28461 | Vulnerabilidade de script entre sites do Dynamics Finance and Operations | Importante |
| CVE-2021-31936 | Microsoft Accessibility Insights para vulnerabilidade de divulgação de informações da Web | Importante |
| CVE-2021-31182 | Vulnerabilidade de falsificação de driver Bluetooth da Microsoft | Importante |
| CVE-2021-31174 | Vulnerabilidade de divulgação de informações do Microsoft Excel | Importante |
| CVE-2021-31195 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Importante |
| CVE-2021-31198 | Vulnerabilidade de execução remota de código do Microsoft Exchange Server | Importante |
| CVE-2021-31209 | Vulnerabilidade de falsificação do Microsoft Exchange Server | Importante |
| CVE-2021-28455 | Vulnerabilidade de execução remota de código do Microsoft Jet Red Database Engine e Access Connectivity Engine | Importante |
| CVE-2021-31180 | Vulnerabilidade de execução remota de código do Microsoft Office Graphics | Importante |
| CVE-2021-31178 | Vulnerabilidade de divulgação de informações do Microsoft Office | Importante |
| CVE-2021-31175 | Vulnerabilidade de execução remota de código do Microsoft Office | Importante |
| CVE-2021-31176 | Vulnerabilidade de execução remota de código do Microsoft Office | Importante |
| CVE-2021-31177 | Vulnerabilidade de execução remota de código do Microsoft Office | Importante |
| CVE-2021-31179 | Vulnerabilidade de execução remota de código do Microsoft Office | Importante |
| CVE-2021-31171 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| CVE-2021-31181 | Vulnerabilidade de execução remota de código do Microsoft SharePoint | Importante |
| CVE-2021-31173 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint Server | Importante |
| CVE-2021-28474 | Vulnerabilidade de execução remota de código do Microsoft SharePoint Server | Importante |
| CVE-2021-26418 | Vulnerabilidade de falsificação do Microsoft SharePoint | Importante |
| CVE-2021-28478 | Vulnerabilidade de falsificação do Microsoft SharePoint | Importante |
| CVE-2021-31172 | Vulnerabilidade de falsificação do Microsoft SharePoint | Importante |
| CVE-2021-31184 | Vulnerabilidade de divulgação de informações da Microsoft Windows Infrared Data Association (IrDA) | Importante |
| CVE-2021-26422 | Vulnerabilidade de execução remota de código do Skype for Business e Lync | Importante |
| CVE-2021-26421 | Vulnerabilidade de spoofing do Skype for Business e Lync | Importante |
| CVE-2021-31214 | Vulnerabilidade de execução remota de código do Visual Studio | Importante |
| CVE-2021-31211 | Vulnerabilidade de execução remota de código de extensão de desenvolvimento remoto de código do Visual Studio | Importante |
| CVE-2021-31213 | Vulnerabilidade de execução remota de código de extensão de desenvolvimento remoto de código do Visual Studio | Importante |
| CVE-2021-27068 | Vulnerabilidade de execução remota de código do Visual Studio | Importante |
| CVE-2021-28465 | Vulnerabilidade de execução remota de código do Web Media Extensions | Importante |
| CVE-2021-31190 | Vulnerabilidade de elevação de privilégio do driver do filtro FS do Windows Container Isolation | Importante |
| CVE-2021-31165 | Vulnerabilidade de elevação de privilégio do serviço Windows Container Manager | Importante |
| CVE-2021-31167 | Vulnerabilidade de elevação de privilégio do serviço Windows Container Manager | Importante |
| CVE-2021-31168 | Vulnerabilidade de elevação de privilégio do serviço Windows Container Manager | Importante |
| CVE-2021-31169 | Vulnerabilidade de elevação de privilégio do serviço Windows Container Manager | Importante |
| CVE-2021-31208 | Vulnerabilidade de elevação de privilégio do serviço Windows Container Manager | Importante |
| CVE-2021-28479 | Vulnerabilidade de divulgação de informações do serviço Windows CSC | Importante |
| CVE-2021-31185 | Vulnerabilidade de negação de serviço do Windows Desktop Bridge | Importante |
| CVE-2021-31170 | Vulnerabilidade de elevação de privilégio do componente gráfico do Windows | Importante |
| CVE-2021-31188 | Vulnerabilidade de elevação de privilégio do componente gráfico do Windows | Importante |
| CVE-2021-31192 | Vulnerabilidade de execução remota de código do Windows Media Foundation Core | Importante |
| CVE-2021-31191 | Vulnerabilidade de divulgação de informações do driver do filtro FS do sistema de arquivos projetado do Windows | Importante |
| CVE-2021-31186 | Vulnerabilidade de divulgação de informações do protocolo RDP (Windows Remote Desktop Protocol) | Importante |
| CVE-2021-31205 | Vulnerabilidade de desvio do recurso de segurança do cliente SMB do Windows | Importante |
| CVE-2021-31193 | Vulnerabilidade de elevação de privilégio do serviço SSDP do Windows | Importante |
| CVE-2021-31187 | Vulnerabilidade de elevação de privilégio do Windows WalletService | Importante |
| CVE-2020-24587 | Vulnerabilidade de divulgação de informações de rede sem fio do Windows | Importante |
| CVE-2020-24588 | Vulnerabilidade de falsificação de rede sem fio do Windows | Importante |
| CVE-2020-26144 | Vulnerabilidade de falsificação de rede sem fio do Windows | Importante |
Dito isso, concluiremos nossa visão geral do relatório CVE deste mês e recomendamos que todos usando qualquer um dos produtos Adobe ou Microsoft afetados, aplique as atualizações mais recentes do Patch Tuesday assim que possível.
Por outro lado, os usuários sempre podem tentar antivírus de terceiros para ajudar na segurança, já que funcionam tão bem, senão melhor, do que atualizar seu PC.
Deixe-nos saber o que você pensa sobre o relatório CVE deste mês, deixando seus comentários na seção de comentários abaixo.
