- CVE sú skratkouBežné chyby a expozíciea líšia sa formou a tým, na čo majú vplyv.
- Počas Patch Tuesday je správa pre všetkých CVE zverejnená pre širokú verejnosť.
- Hodnoty CVE sa hodnotia na základe závažnosti, od dôležitých po závažnejšie, ktoré sa hodnotia ako kritické.
- Prečítajte si viac informácií o CVE tohto mesiaca a v prípade potreby aktualizujte svoj počítač.
Všetci vieme, že aktualizácie Patch Tuesday sa zameriavajú na zlepšenie používateľského prostredia Windows, ale nejde iba o pridanie, vylepšenie a opravu funkcií.
Ďalším kľúčovým aspektom týchto aktualizácií sú však vylepšenia zabezpečenia, ktoré sú s nimi spojené skoro preto odporúčame, aby všetci dostali tieto aktualizácie hneď, ako budú k dispozícii vo vašom regiónu.
No, 11. máj je tu, rovnako aj aktualizácie Patch Tuesday, čo znamená, že sú tu aj správy o CVE.
Rok 2021 bol doteraz v CVE dosť bohatý a každý mesiac sa zisťovalo toto číslo:
- Január: 91
- Február: 106
- Marec: 97
- Apríl: 124
Celkovo je tu zhrnutie situácie v tomto mesiaci týkajúcej sa CVE pre produkty Adobe aj Microsoft, a zdôrazníme tiež niektoré zistené závažnejšie prípady.
Májová správa o CVE obsahuje 98 identifikovaných CVE
Zraniteľnosti nájdené v produktoch Adobe
Spoločnosť Adobe vydala celkovo 12 opráv, ktoré majú opraviť 43 identifikovaných CVE, ktoré ovplyvnili Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat a Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium a Animovať.
Zo 43 celkových Adobe CVEs bolo 14 zameraných na Adobe Acrobat Reader, z ktorých jeden zostal nevyriešený a je možné ich použiť na zneužitie údajov používateľov prostredníctvom upravených súborov PDF otvorených v Acrobate.
Zraniteľnosti nájdené v produktoch spoločnosti Microsoft
Prevažnú časť správy o CVE za tento mesiac tvoria ako vždy CVE súvisiace so spoločnosťou Microsoft, ktoré spolu tvoria spolu 55.
Tieto CVE sa zameriavajú na Microsoft Windows, .NET Core a Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, softvér s otvoreným zdrojom, Hyper-V, Skype for Business a Microsoft Lync a Exchange Server.
Pokiaľ ide o závažnosť týchto 55 chýb, boli hodnotené takto:
- 4 sú hodnotené ako Kritické
- 50 sú hodnotené Dôležité
- Jeden je hodnotený Mierna v závažnosti.
Ktoré boli niektoré z najťažších CVE?
Niektoré CVE vynikajú v tejto správe buď tým, ako ľahko sa dali zneužiť, alebo obľúbenosťou cieleného programu a sú to tieto:
-
CVE-2021-31166
- Zraniteľnosť vzdialeného spustenia kódu pomocou protokolu HTTP
-
CVE-2021-28476
- Zraniteľnosť vzdialeného spustenia kódu Hyper-V
-
CVE-2021-27068
- Zraniteľnosť vzdialeného spustenia kódu Visual Studio
-
CVE-2020-24587
- Zraniteľnosť zverejnenia informácií o bezdrôtových sieťach Windows
Tu je kompletný zoznam všetkých CVE zahrnutých v prehľade za tento mesiac:
CVE |
Názov |
Závažnosť |
| CVE-2021-31204 | Zraniteľnosť oprávnení .NET Core a Visual Studio | Dôležité |
| CVE-2021-31200 | Zraniteľnosť bežných nástrojov pri vzdialenom spustení kódu | Dôležité |
| CVE-2021-31207 | Funkcia zabezpečenia servera Microsoft Exchange Server obchádza zraniteľnosť | Mierna |
| CVE-2021-31166 | Zraniteľnosť vzdialeného spustenia kódu pomocou protokolu HTTP | Kritické |
| CVE-2021-28476 | Zraniteľnosť vzdialeného spustenia kódu Hyper-V | Kritické |
| CVE-2021-31194 | Zraniteľnosť vzdialeného spustenia kódu automatizácie OLE | Kritické |
| CVE-2021-26419 | Zraniteľnosť poškodenia pamäte skriptovacieho motora | Kritické |
| CVE-2021-28461 | Zraniteľnosť skriptovania medzi lokalitami pri dynamickom financovaní a prevádzke | Dôležité |
| CVE-2021-31936 | Microsoft Accessibility Insights pre zraniteľnosť zverejnenia webových informácií | Dôležité |
| CVE-2021-31182 | Zraniteľnosť ovládača Microsoft Bluetooth spoofing | Dôležité |
| CVE-2021-31174 | Zraniteľnosť zverejnenia informácií v programe Microsoft Excel | Dôležité |
| CVE-2021-31195 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Dôležité |
| CVE-2021-31198 | Zraniteľnosť vzdialeného spustenia kódu na serveri Microsoft Exchange Server | Dôležité |
| CVE-2021-31209 | Zraniteľnosť falšovania servera Microsoft Exchange Server | Dôležité |
| CVE-2021-28455 | Zraniteľnosť vzdialeného spustenia kódu databázového stroja Microsoft Jet Red a prístupového modulu | Dôležité |
| CVE-2021-31180 | Zraniteľnosť vzdialeného spustenia kódu pomocou grafiky Microsoft Office | Dôležité |
| CVE-2021-31178 | Zraniteľnosť Microsoft Office Information Disclosure | Dôležité |
| CVE-2021-31175 | Zraniteľnosť programu Microsoft Office Remote Code Execution | Dôležité |
| CVE-2021-31176 | Zraniteľnosť programu Microsoft Office Remote Code Execution | Dôležité |
| CVE-2021-31177 | Zraniteľnosť programu Microsoft Office Remote Code Execution | Dôležité |
| CVE-2021-31179 | Zraniteľnosť programu Microsoft Office Remote Code Execution | Dôležité |
| CVE-2021-31171 | Zraniteľnosť zverejnenia informácií Microsoft SharePoint | Dôležité |
| CVE-2021-31181 | Zraniteľnosť vzdialeného spustenia kódu Microsoft SharePoint | Dôležité |
| CVE-2021-31173 | Zraniteľnosť zverejnenia informácií servera Microsoft SharePoint | Dôležité |
| CVE-2021-28474 | Zraniteľnosť vzdialeného spustenia kódu servera Microsoft SharePoint Server | Dôležité |
| CVE-2021-26418 | Zraniteľnosť spoofingu Microsoft SharePoint | Dôležité |
| CVE-2021-28478 | Zraniteľnosť spoofingu Microsoft SharePoint | Dôležité |
| CVE-2021-31172 | Zraniteľnosť spoofingu Microsoft SharePoint | Dôležité |
| CVE-2021-31184 | Zraniteľnosť zverejnenia informácií spoločnosti Microsoft Windows Infrared Data Association (IrDA) | Dôležité |
| CVE-2021-26422 | Zraniteľnosť Skype for Business a Lync vzdialeného spustenia kódu | Dôležité |
| CVE-2021-26421 | Zraniteľnosť služieb Skype for Business a Lync Spoofing | Dôležité |
| CVE-2021-31214 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio Code | Dôležité |
| CVE-2021-31211 | Zraniteľnosť rozšírenia vzdialeného vývoja kódu Visual Studio Code Remote Code Execution | Dôležité |
| CVE-2021-31213 | Zraniteľnosť rozšírenia vzdialeného vývoja kódu Visual Studio Code Remote Code Execution | Dôležité |
| CVE-2021-27068 | Zraniteľnosť vzdialeného spustenia kódu Visual Studio | Dôležité |
| CVE-2021-28465 | Zraniteľnosť vzdialeného spustenia kódu Web Media Extensions | Dôležité |
| CVE-2021-31190 | Zraniteľnosť ovládača filtra filtra FS FSI, zvýšenie úrovne oprávnenia | Dôležité |
| CVE-2021-31165 | Windows Container Manager - zvýšenie zraniteľnosti služby | Dôležité |
| CVE-2021-31167 | Windows Container Manager - zvýšenie zraniteľnosti služby | Dôležité |
| CVE-2021-31168 | Windows Container Manager - zvýšenie zraniteľnosti služby | Dôležité |
| CVE-2021-31169 | Windows Container Manager - zvýšenie zraniteľnosti služby | Dôležité |
| CVE-2021-31208 | Windows Container Manager - zvýšenie zraniteľnosti služby | Dôležité |
| CVE-2021-28479 | Zraniteľnosť zverejnenia informácií o službe Windows CSC | Dôležité |
| CVE-2021-31185 | Windows Desktop Bridge - Zraniteľnosť odmietnutia služby | Dôležité |
| CVE-2021-31170 | Zraniteľnosť privilégií zvyšovaním grafických komponentov systému Windows | Dôležité |
| CVE-2021-31188 | Zraniteľnosť privilégií zvyšovaním grafických komponentov systému Windows | Dôležité |
| CVE-2021-31192 | Zraniteľnosť vzdialeného spustenia kódu Windows Media Foundation Core | Dôležité |
| CVE-2021-31191 | Zraniteľnosť zverejnenia informácií o filtri FS systému Windows Projected File System Driver | Dôležité |
| CVE-2021-31186 | Zraniteľnosť zverejnenia informácií protokolu Windows Remote Desktop Protocol (RDP) | Dôležité |
| CVE-2021-31205 | Funkcia zabezpečenia klientov Windows SMB obchádza zraniteľnosť | Dôležité |
| CVE-2021-31193 | Zraniteľnosť služby SSDP v službe Windows | Dôležité |
| CVE-2021-31187 | Windows WalletService - zvýšenie zraniteľnosti privilégií | Dôležité |
| CVE-2020-24587 | Zraniteľnosť zverejnenia informácií o bezdrôtových sieťach Windows | Dôležité |
| CVE-2020-24588 | Zraniteľnosť spoofingu pomocou bezdrôtových sietí Windows | Dôležité |
| CVE-2020-26144 | Zraniteľnosť spoofingu pomocou bezdrôtových sietí Windows | Dôležité |
To znamená, že uzavrieme náš prehľad správy o CVE za tento mesiac a odporúčame každému pomocou ktoréhokoľvek z dotknutých produktov spoločnosti Adobe alebo Microsoft aplikujte najnovšie aktualizácie Patch Tuesday čo najskôr možné.
Na druhej strane, používatelia sa o to mohli vždy pokúsiť antivírusy tretích strán pomôcť pri zabezpečení, pretože fungujú rovnako dobre, ak nie lepšie, ako aktualizácia vášho počítača.
Dajte nám vedieť, čo si myslíte o správe CVE za tento mesiac, a nechajte nám svoju spätnú väzbu v sekcii komentárov nižšie.
