- Готовы ли вы к новой партии важных обновлений программного обеспечения?
- Что ж, Microsoft выпустит их сегодня, как часть Patch Tuesday.
- Вы можете узнать о том, что технологический гигант выпустил в предыдущие месяцы.
- Также узнайте, чего мы можем ожидать от компании Redmond в сентябре.
Наступил сентябрь, а вместе с ним - еще одна партия обновлений Patch Tuesday, которых с нетерпением ждали многие пользователи.
Как и все другие обновления Patch Tuesday предыдущих месяцев, они содержат множество изменений, исправлений и улучшений для всех поддерживаемых версий ОС Windows.
В среду Microsoft объявила о наличии CVE-2021-40444 - уязвимости, о которой сообщается как о публично раскрытой, так и о известной уязвимости.
Эта конкретная уязвимость позволяет удаленно выполнять код через MSHTML, компонент, используемый Internet Explorer и Office.
Чего нам ожидать от сентябрьского патча вторника?
Если вы хотите быть в курсе всего, что технологическая компания из Редмонда делает во время событий во вторник патчей, вы наверняка помните, что произошло за последний месяц.
Под давлением серьезных проблем с безопасностью Microsoft выпустила огромное количество исправлений безопасности, предназначенных для устранения некоторых уязвимостей, которые происходили в дикой природе.
Официальные лица Редмонда включили подробный обходной путь, чтобы отключить установку всех элементов управления ActiveX в Internet Explorer, что снизит опасность этой атаки.
Следите за обновлением, устраняющим эту уязвимость, в противном случае вам нужно будет рассмотреть это средство для устранения проблемы в краткосрочной перспективе, пока не будет выпущено исправление. Оценка по CVSS 3.0 - 8,8.
Уязвимости нулевого дня, которые Microsoft отслеживает как активно используемые, были исправлены в августе 2021 года следующим образом:
| Ярлык | CVE ID | Заголовок CVE | Строгость |
|---|---|---|---|
| .NET Core и Visual Studio | CVE-2021-34485 | Уязвимость .NET Core и Visual Studio, связанная с раскрытием информации | Важный |
| .NET Core и Visual Studio | CVE-2021-26423 | Уязвимость .NET Core и Visual Studio, связанная с отказом в обслуживании | Важный |
| ASP.NET Core и Visual Studio | CVE-2021-34532 | Уязвимость раскрытия информации в ASP.NET Core и Visual Studio | Важный |
| Лазурь | CVE-2021-36943 | Уязвимость Azure CycleCloud, связанная с повышением привилегий | Важный |
| Лазурь | CVE-2021-33762 | Уязвимость Azure CycleCloud, связанная с повышением привилегий | Важный |
| Лазурная сфера | CVE-2021-26428 | Уязвимость, связанная с раскрытием информации в Azure Sphere | Важный |
| Лазурная сфера | CVE-2021-26430 | Уязвимость, связанная с отказом в обслуживании в Azure Sphere | Важный |
| Лазурная сфера | CVE-2021-26429 | Уязвимость Azure Sphere, связанная с повышением привилегий | Важный |
| Подключение к Microsoft Azure Active Directory | CVE-2021-36949 | Уязвимость обхода проверки подлинности Microsoft Azure Active Directory Connect | Важный |
| Microsoft Dynamics | CVE-2021-36946 | Уязвимость межсайтового сценария Microsoft Dynamics Business Central | Важный |
| Microsoft Dynamics | CVE-2021-36950 | Уязвимость межсайтового скриптинга в Microsoft Dynamics 365 (локальная) | Важный |
| Microsoft Dynamics | CVE-2021-34524 | Уязвимость Microsoft Dynamics 365 (локальная), связанная с удаленным выполнением кода | Важный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30591 | Chromium: CVE-2021-30591 Использование после бесплатного использования в API файловой системы | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30592 | Chromium: CVE-2021-30592 Запись вне пределов в группах вкладок | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30597 | Chromium: CVE-2021-30597 Использовать после бесплатного использования в пользовательском интерфейсе браузера | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30594 | Chromium: CVE-2021-30594 Использовать после бесплатного использования в пользовательском интерфейсе информации о странице | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30596 | Chromium: CVE-2021-30596 Неверный пользовательский интерфейс безопасности в навигации. | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30590 | Chromium: CVE-2021-30590 Переполнение буфера кучи в закладках | Неизвестный |
| Microsoft Edge (на основе Chromium) | CVE-2021-30593 | Chromium: CVE-2021-30593 "За пределами допустимого диапазона", чтение в полосе вкладок | Неизвестный |
| Графический компонент Microsoft | CVE-2021-34530 | Уязвимость графического компонента Windows, связанная с удаленным выполнением кода | Критический |
| Графический компонент Microsoft | CVE-2021-34533 | Уязвимость, связанная с удаленным выполнением кода, при синтаксическом анализе шрифтов графического компонента Windows | Важный |
| Microsoft Office | CVE-2021-34478 | Уязвимость Microsoft Office, связанная с удаленным выполнением кода | Важный |
| Microsoft Office SharePoint | CVE-2021-36940 | Уязвимость подмены Microsoft SharePoint Server | Важный |
| Microsoft Office Word | CVE-2021-36941 | Уязвимость Microsoft Word, связанная с удаленным выполнением кода | Важный |
| Механизм сценариев Microsoft | CVE-2021-34480 | Уязвимость, приводящая к повреждению памяти движка сценариев | Критический |
| Библиотека кодеков Microsoft Windows | CVE-2021-36937 | Уязвимость Windows Media MPEG-4 Video Decoder, связанная с удаленным выполнением кода | Важный |
| Клиент удаленного рабочего стола | CVE-2021-34535 | Уязвимость удаленного выполнения кода клиента удаленного рабочего стола | Критический |
| Служба Windows Bluetooth | CVE-2021-34537 | Уязвимость, связанная с повышением привилегий драйвера Bluetooth в Windows | Важный |
| Криптографические службы Windows | CVE-2021-36938 | Уязвимость, связанная с раскрытием информации в библиотеке криптографических примитивов Windows | Важный |
| Защитник Windows | CVE-2021-34471 | Уязвимость, связанная с повышением привилегий Защитника Microsoft Windows | Важный |
| Отслеживание событий Windows | CVE-2021-34486 | Уязвимость отслеживания событий Windows, связанная с повышением привилегий | Важный |
| Отслеживание событий Windows | CVE-2021-34487 | Уязвимость отслеживания событий Windows, связанная с повышением привилегий | Важный |
| Отслеживание событий Windows | CVE-2021-26425 | Уязвимость отслеживания событий Windows, связанная с повышением привилегий | Важный |
| Windows Media | CVE-2021-36927 | Приложение для регистрации устройства Windows Digital TV Tuner Уязвимость, связанная с повышением привилегий | Важный |
| Платформа Windows MSHTML | CVE-2021-34534 | Уязвимость Windows MSHTML Platform, связанная с удаленным выполнением кода | Критический |
| Windows NTLM | CVE-2021-36942 | Уязвимость подмены Windows LSA | Важный |
| Компоненты диспетчера очереди печати Windows | CVE-2021-34483 | Уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий | Важный |
| Компоненты диспетчера очереди печати Windows | CVE-2021-36947 | Уязвимость диспетчера очереди печати Windows, связанная с удаленным выполнением кода | Важный |
| Компоненты диспетчера очереди печати Windows | CVE-2021-36936 | Уязвимость диспетчера очереди печати Windows, связанная с удаленным выполнением кода | Критический |
| Службы Windows для драйвера NFS ONCRPC XDR | CVE-2021-36933 | Службы Windows для уязвимости раскрытия информации о драйвере NFS ONCRPC XDR | Важный |
| Службы Windows для драйвера NFS ONCRPC XDR | CVE-2021-26433 | Службы Windows для уязвимости раскрытия информации о драйвере NFS ONCRPC XDR | Важный |
| Службы Windows для драйвера NFS ONCRPC XDR | CVE-2021-36932 | Службы Windows для уязвимости раскрытия информации о драйвере NFS ONCRPC XDR | Важный |
| Службы Windows для драйвера NFS ONCRPC XDR | CVE-2021-26432 | Службы Windows для уязвимости удаленного выполнения кода в драйвере NFS ONCRPC XDR | Критический |
| Службы Windows для драйвера NFS ONCRPC XDR | CVE-2021-36926 | Службы Windows для уязвимости раскрытия информации о драйвере NFS ONCRPC XDR | Важный |
| Контроллер дисковых пространств Windows | CVE-2021-34536 | Уязвимость, связанная с повышением привилегий контроллера дисковых пространств | Важный |
| Windows TCP / IP | CVE-2021-26424 | Уязвимость Windows TCP / IP, связанная с удаленным выполнением кода | Критический |
| Центр обновления Windows | CVE-2021-36948 | Уязвимость службы Windows Update Medic, связанная с повышением привилегий | Важный |
| Помощник по обновлению Windows | CVE-2021-36945 | Уязвимость помощника по обновлению Windows 10, связанная с повышением привилегий | Важный |
| Помощник по обновлению Windows | CVE-2021-26431 | Уязвимость, связанная с повышением привилегий агента среды восстановления Windows | Важный |
| Служба профилей пользователей Windows | CVE-2021-34484 | Уязвимость, связанная с повышением привилегий службы профилей пользователей Windows | Важный |
| Служба профилей пользователей Windows | CVE-2021-26426 | Изображение профиля учетной записи пользователя Windows Уязвимость, связанная с повышением привилегий | Важный |
Однако в этом месяце мы можем ожидать, что ограниченное количество CVE будет адресовано во всех операционных системах, поскольку Microsoft возвращается с последних летних каникул.
Мы прошли половину пути для расширенных обновлений безопасности (ESU) для Windows 7 и Server 2008/2008 R2, поэтому любой, кто использует эти операционные системы, должен работать по схеме обновления.
Кроме того, с анонсом CVE-2021-40444 мы обязательно должны увидеть обновление Internet Explorer.
Если вам интересно узнать об Adobe Acrobat и Reader, знайте, что они будут обновлены, поскольку Adobe предоставила рекомендации по безопасности Prenotification. APSB21-55.
Так что это должен быть довольно легкий вторник с сентябрьским патчем, но наслаждайтесь им, пока он длится, потому что на самом деле это затишье перед бурей.
Как мы знаем, обновления программного обеспечения обычно появляются в октябре и ноябре до конца года. праздники, и мы также должны учитывать добавление поддержки для выпуска всех этих новых операционных системы.
