- Raz za mesiac je vydaná správa o všetkých CVE spolu s aktualizáciou Patch Tuesday.
- CVE sú skratkou Bežné chyby a expozíciea vzťahujú sa na produkty spoločnosti Microsoft a Adobe.
- Problémy s CVE sa líšia, pričom niektoré sú hodnotené ako dôležité, zatiaľ čo iné sú kritické.
- Keď si prečítate našu správu CVE, budete určite chcieť použiť najnovšie bezpečnostné aktualizácie.
Zatiaľ čo Patch utorok Je známe, že spoločnosť Microsoft jedenkrát v mesiaci opravuje a opravuje svoje operačné systémy Windows. Mnoho ľudí tiež vie, že to bude aj vtedy, keď vyjdú mesačné správy o CVE.
No, stalo sa to dnes, pretože teraz sú zverejnené aj aktualizácie April Patch Tuesday.
Rok 2021 bol doteraz v CVE dosť bohatý a každý mesiac sa zisťovalo toto číslo:
- Január: 91
- Február: 106
- Marec: 97
Aprílová správa o CVE obsahuje 124 identifikovaných CVE
Zraniteľnosti nájdené v produktoch Adobe
Pokiaľ ide o produkty Adobe, bolo identifikovaných celkovo 10 CVE, ktoré sa dotkli programov Adobe Photoshop, Digital Editions, RoboHelp a Bridge.
Samotná aktualizácia Bridge opravila 6 z týchto CVE, takže ak používate program, je najnovšia aktualizácia takmer povinná.
Čo sa týka závažnosti, 10 CVE špecifických pre Adobe bolo hodnotených takto:
- 6 CVE bolo hodnotených ako Kritické
- Boli 4 CVE Súvisiace s mostom
- 2 CVE boli Súvisiace s Photoshopom
- 4 CVE boli hodnotené ako Dôležité
Zraniteľnosti nájdené v produktoch spoločnosti Microsoft
Ako vždy, produkty spoločnosti Microsoft zabrali väčšinu detekovaných CVE, pričom iba ich počet prekročil hranicu 100.
Tieto CVE ovplyvnili programy ako Microsoft Windows, Edge (založené na chróme), Azure a Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server, Visual Studio a Exchange Server.
Pokiaľ ide o čistý počet, ide o najvyšší počet CVE nájdených v roku 2021, ktorý dosahuje úrovne porovnateľné s úrovňami z roku 2020.
Pokiaľ ide o závažnosť týchto 114 chýb, boli hodnotené takto:
- 19 sú hodnotené ako Kritické
- 88 sú hodnotené Dôležité
- Jeden je hodnotený Mierna v závažnosti.
Ktoré boli niektoré z najťažších CVE?
Ako vždy, niektoré CVE vynikajú od ostatných vďaka svojej závažnosti, spôsobu, akým je možné ich zneužiť, alebo jednoducho tým, ako ťažko sa s nimi manipuluje, keď sa využijú ich výhody.
-
CVE-2021-28480/28481
- Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server
-
CVE-2021-28329
- Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu
-
CVE-2021-28444
- Funkcia zabezpečenia systému Windows Hyper-V obchádza zraniteľnosť
Kompletný zoznam CVE nájdete v nasledujúcej tabuľke:
CVE |
Názov |
Závažnosť |
| CVE-2021-28310 | Zraniteľnosť zvýšenia oprávnenia Win32k | Dôležité |
| CVE-2021-28458 | Azure ms-rest-nodeauth Knižnica, zvýšenie zraniteľnosti privilégií | Dôležité |
| CVE-2021-27091 | RPC Endpoint Mapper Service - zvýšenie zraniteľnosti privilégií | Dôležité |
| CVE-2021-28437 | Zraniteľnosť zverejnenia informácií o inštalátore Windows | Dôležité |
| CVE-2021-28312 | Zraniteľnosť odmietnutia služby Windows NTFS | Mierna |
| CVE-2021-28460 | Zraniteľnosť spustenia kódu Azure Sphere | Kritické |
| CVE-2021-28480 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Kritické |
| CVE-2021-28481 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Kritické |
| CVE-2021-28482 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Kritické |
| CVE-2021-28483 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Kritické |
| CVE-2021-28329 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28330 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28331 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28332 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28333 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28334 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28335 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28336 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28337 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28338 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28339 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-28343 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Kritické |
| CVE-2021-27095 | Zraniteľnosť vzdialeného spustenia kódu Windows Media Video Decoder | Kritické |
| CVE-2021-28315 | Zraniteľnosť vzdialeného spustenia kódu Windows Media Video Decoder | Kritické |
| CVE-2021-27092 | Funkcia zabezpečenia webového prihlásenia Azure AD obchádza zraniteľnosť | Dôležité |
| CVE-2021-27067 | Zraniteľnosť zverejnenia informácií o serveroch Azure DevOps Server a Team Foundation Server | Dôležité |
| CVE-2021-28459 | Zraniteľnosť falšovania servera Azure DevOps Server a Team Foundation Services | Dôležité |
| CVE-2021-28313 | Diagnostika Hub Štandardná služba zberača Zvýšenie zraniteľnosti oprávnení | Dôležité |
| CVE-2021-28321 | Diagnostika Hub Štandardná služba zberača Zvýšenie zraniteľnosti oprávnení | Dôležité |
| CVE-2021-28322 | Diagnostika Hub Štandardná služba zberača Zvýšenie zraniteľnosti oprávnení | Dôležité |
| CVE-2021-28456 | Zraniteľnosť zverejnenia informácií v programe Microsoft Excel | Dôležité |
| CVE-2021-28451 | Zraniteľnosť pri vzdialenom spustení kódu v programe Microsoft Excel | Dôležité |
| CVE-2021-28454 | Zraniteľnosť pri vzdialenom spustení kódu v programe Microsoft Excel | Dôležité |
| CVE-2021-27089 | Zraniteľnosť vzdialeného spustenia kódu Microsoft Internet Messaging API | Dôležité |
| CVE-2021-28449 | Zraniteľnosť programu Microsoft Office Remote Code Execution | Dôležité |
| CVE-2021-28452 | Zraniteľnosť poškodenia aplikácie Microsoft Outlook | Dôležité |
| CVE-2021-28450 | Aktualizácia odmietnutia služby Microsoft SharePoint | Dôležité |
| CVE-2021-28317 | Zraniteľnosť zverejnenia informácií o kodekoch knižnice Microsoft Windows | Dôležité |
| CVE-2021-28453 | Zraniteľnosť pri vzdialenom spustení kódu v programe Microsoft Word | Dôležité |
| CVE-2021-27096 | Zraniteľnosť oprávnenia NTFS na zvýšenie úrovne NTFS | Dôležité |
| CVE-2021-28466 | Zraniteľnosť vzdialeného spustenia kódu pomocou rozšírenia Raw Image | Dôležité |
| CVE-2021-28468 | Zraniteľnosť vzdialeného spustenia kódu pomocou rozšírenia Raw Image | Dôležité |
| CVE-2021-28471 | Rozšírenie vzdialeného vývoja pre kód Visual Studio Code, chyba zabezpečenia vzdialeného spustenia kódu | Dôležité |
| CVE-2021-28327 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28340 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28341 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28342 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28344 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28345 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28346 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28352 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28353 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28354 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28355 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28356 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28357 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28358 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28434 | Zraniteľnosť vzdialeného volania procedúr za behu, vzdialené spustenie kódu | Dôležité |
| CVE-2021-28470 | Zraniteľnosť vzdialeného spustenia kódu pomocou rozšírenia Code GitHub Pull Requests and Issues Extension | Dôležité |
| CVE-2021-28448 | Zraniteľnosť nástroja Visual Studio Code Kubernetes Tools pri vzdialenom vykonávaní kódu | Dôležité |
| CVE-2021-28472 | Zraniteľnosť produktu Visual Studio Code Maven pre rozšírenie Java Extension Remote Code Execution | Dôležité |
| CVE-2021-28457 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-28469 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-28473 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-28475 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-28477 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-27064 | Zraniteľnosť privilégia inštalačného programu Visual Studio | Dôležité |
| CVE-2021-28464 | Zraniteľnosť vzdialeného spustenia kódu VP9 Video Extensions | Dôležité |
| CVE-2021-27072 | Zraniteľnosť zvýšenia oprávnenia Win32k | Dôležité |
| CVE-2021-28311 | Vyrovnávacia pamäť aplikácií pre Windows, zraniteľnosť odmietnutím služby | Dôležité |
| CVE-2021-28326 | Zraniteľnosť odmietnutia služby Windows AppX Deployment Server | Dôležité |
| CVE-2021-28438 | Zraniteľnosť ovládača konzoly Windows odmietnutím služby | Dôležité |
| CVE-2021-28443 | Zraniteľnosť ovládača konzoly Windows odmietnutím služby | Dôležité |
| CVE-2021-28323 | Zraniteľnosť zverejnenia informácií Windows DNS | Dôležité |
| CVE-2021-28328 | Zraniteľnosť zverejnenia informácií Windows DNS | Dôležité |
| CVE-2021-27094 | Funkcia zabezpečenia predčasného spustenia antimalwarového ovládača systému Windows Obchádza zraniteľnosť | Dôležité |
| CVE-2021-28447 | Funkcia zabezpečenia predčasného spustenia antimalwarového ovládača systému Windows Obchádza zraniteľnosť | Dôležité |
| CVE-2021-27088 | Sledovanie udalostí systému Windows, zvýšenie zraniteľnosti privilégií | Dôležité |
| CVE-2021-28435 | Zraniteľnosť zverejňovania informácií o sledovaní udalostí systému Windows | Dôležité |
| CVE-2021-28318 | Zraniteľnosť zverejnenia informácií v systéme Windows GDI + | Dôležité |
| CVE-2021-28348 | Zraniteľnosť vzdialeného spustenia kódu Windows GDI + | Dôležité |
| CVE-2021-28349 | Zraniteľnosť vzdialeného spustenia kódu Windows GDI + | Dôležité |
| CVE-2021-28350 | Zraniteľnosť vzdialeného spustenia kódu Windows GDI + | Dôležité |
| CVE-2021-26416 | Zraniteľnosť odmietnutia služby Windows Hyper-V | Dôležité |
| CVE-2021-28314 | Zraniteľnosť privilégií systému Windows Hyper-V | Dôležité |
| CVE-2021-28441 | Zraniteľnosť zverejnenia informácií o systéme Windows Hyper-V | Dôležité |
| CVE-2021-28444 | Funkcia zabezpečenia systému Windows Hyper-V obchádza zraniteľnosť | Dôležité |
| CVE-2021-26415 | Zraniteľnosť oprávnenia pri inštalácii systému Windows | Dôležité |
| CVE-2021-28440 | Zraniteľnosť oprávnenia pri inštalácii systému Windows | Dôležité |
| CVE-2021-26413 | Zraniteľnosť spoofingu pomocou Inštalátora systému Windows | Dôležité |
| CVE-2021-27093 | Zraniteľnosť zverejnenia informácií o jadre systému Windows | Dôležité |
| CVE-2021-28309 | Zraniteľnosť zverejnenia informácií o jadre systému Windows | Dôležité |
| CVE-2021-27079 | Zraniteľnosť zverejnenia informácií o kodeku Windows Media Photo | Dôležité |
| CVE-2021-28445 | Zraniteľnosť vzdialeného spustenia kódu v systéme Windows Network File System | Dôležité |
| CVE-2021-26417 | Zraniteľnosť zverejnenia informácií o filtri prekrytia systému Windows | Dôležité |
| CVE-2021-28446 | Zraniteľnosť zverejnenia informácií o mapovaní portov Windows | Dôležité |
| CVE-2021-28320 | Windows Resource Manager - rozšírenie služby PSM, zvýšenie zraniteľnosti privilégií | Dôležité |
| CVE-2021-27090 | Zraniteľnosť režimu privilégia v režime zabezpečeného jadra systému Windows | Dôležité |
| CVE-2021-27086 | Zraniteľnosť aplikácie Windows Services a radiča | Dôležité |
| CVE-2021-28324 | Zraniteľnosť zverejňovania informácií o SMB vo Windows | Dôležité |
| CVE-2021-28325 | Zraniteľnosť zverejňovania informácií o SMB vo Windows | Dôležité |
| CVE-2021-28347 | Zraniteľnosť modulu Windows Speech Runtime, zvýšenie úrovne oprávnenia | Dôležité |
| CVE-2021-28351 | Zraniteľnosť modulu Windows Speech Runtime, zvýšenie úrovne oprávnenia | Dôležité |
| CVE-2021-28436 | Zraniteľnosť modulu Windows Speech Runtime, zvýšenie úrovne oprávnenia | Dôležité |
| CVE-2021-28319 | Zraniteľnosť ovládača Windows TCP / IP v súvislosti s odmietnutím služby | Dôležité |
| CVE-2021-28439 | Zraniteľnosť ovládača Windows TCP / IP v súvislosti s odmietnutím služby | Dôležité |
| CVE-2021-28442 | Zraniteľnosť zverejňovania informácií o protokole Windows TCP / IP | Dôležité |
| CVE-2021-28316 | Bezpečnostná funkcia zabezpečenia Windows WLAN AutoConfig Service Bypass | Dôležité |
Týmto sa uzatvára náš briefing k tohtoročnej správe CVE. Ako vidíte, čísla sú dosť konštantné, takže ak používate niektorý z vyššie uvedených produktov, pokúste sa buď čo najskôr aktualizovať, alebo si nainštalujte antivírusový nástroj od iného výrobcu von.
Majte na pamäti, že tieto CVE môžu byť dosť nebezpečné, najmä ak sa neaktualizujú a nie ste ponechaní ako cieľ udalostí, ako sú mesačné Využite stredu, čo je hanlivý výraz daný dňom po Patch Tuesday.
Čo si myslíte o správe CVE za tento mesiac, zanechaním spätnej väzby v sekcii komentárov nižšie.
![Utorková oprava Windows 10 a 11 [PRIAME ODKAZY NA STIAHNUTIE]](/f/0b3871012237aa5cc048636e2de4c537.jpg?width=300&height=460)