- Ste pripravení na úplne novú dávku dôležitých aktualizácií softvéru?
- Microsoft ich vydá dnes, ako súčasť Patch Tuesday.
- Môžete dohnať, čo technický gigant predviedol v predchádzajúcich mesiacoch.
- Prečítajte si tiež, čo môžeme v septembri očakávať od spoločnosti Redmond.
September je tu a s ním prichádza aj ďalšia dávka aktualizácií Patch Tuesday, na ktoré mnohí používatelia netrpezlivo čakali.
Rovnako ako všetky ostatné aktualizácie Patch Tuesday z predchádzajúcich mesiacov, aj tieto prinášajú množstvo zmien, opráv a vylepšení všetkých podporovaných verzií operačného systému Windows.
Microsoft v stredu oznámil prítomnosť CVE-2021-40444, zraniteľnosti, ktorá je hlásená ako verejne odhalená a známa ako zneužívaná.
Táto konkrétna zraniteľnosť umožňuje diaľkové spustenie kódu prostredníctvom MSHTML, komponentu používaného programom Internet Explorer a Office.
Čo môžeme očakávať od septembrového Patch Tuesday?
Ak sa chcete informovať o všetkom, čo technologická spoločnosť so sídlom v Redmonde robí počas týchto akcií Patch Tuesday, určite si pamätáte dávku z minulého mesiaca.
Microsoft, po vážnych obavách o bezpečnosť, vydal obrovské množstvo opráv zabezpečenia, ktorých cieľom bolo vyriešiť niektoré exploity, ktoré sa dejú vo voľnej prírode.
Predstavitelia Redmondu zahrnuli podrobné riešenie, ako zakázať inštaláciu všetkých ovládacích prvkov ActiveX v programe Internet Explorer, čo tento útok zmierni.
Sledujte aktualizáciu, ktorá rieši túto zraniteľnosť, inak budete musieť zvážiť toto zmiernenie, aby ste problém vyriešili v krátkodobom horizonte, kým nebude vydaná oprava. Skóre CVSS 3.0 je 8,8.
Zraniteľnosti nultého dňa, ktoré spoločnosť Microsoft sledovala ako aktívne zneužívané, boli v auguste 2021 opravené nasledovne:
Označiť | ID CVE | Názov CVE | Závažnosť |
---|---|---|---|
.NET Core a Visual Studio | CVE-2021-34485 | Zraniteľnosť zverejnenia informácií .NET Core a Visual Studio | Dôležité |
.NET Core a Visual Studio | CVE-2021-26423 | .NET Core a chyba zabezpečenia v prípade odmietnutia služby Visual Studio | Dôležité |
ASP.NET Core a Visual Studio | CVE-2021-34532 | Zraniteľnosť zverejnenia informácií ASP.NET Core a Visual Studio | Dôležité |
Azure | CVE-2021-36943 | Zraniteľnosť zraniteľnosti Azure CycleCloud | Dôležité |
Azure | CVE-2021-33762 | Zraniteľnosť zraniteľnosti Azure CycleCloud | Dôležité |
Azure Sphere | CVE-2021-26428 | Zraniteľnosť zverejnenia informácií Azure Sphere | Dôležité |
Azure Sphere | CVE-2021-26430 | Zraniteľnosť odmietnutia služby Azure Sphere | Dôležité |
Azure Sphere | CVE-2021-26429 | Zraniteľnosť zvýšenia oprávnenia Azure Sphere | Dôležité |
Microsoft Azure Active Directory Connect | CVE-2021-36949 | Chyba bypassu overenia totožnosti pripojenia Microsoft Azure Active Directory Connect | Dôležité |
Microsoft Dynamics | CVE-2021-36946 | Zraniteľnosť skriptovania medzi webmi Microsoft Dynamics Business Central | Dôležité |
Microsoft Dynamics | CVE-2021-36950 | Microsoft Dynamics 365 (lokálne) Zraniteľnosť skriptovania medzi webmi | Dôležité |
Microsoft Dynamics | CVE-2021-34524 | Chyba zabezpečenia pri vzdialenom spustení kódu Microsoft Dynamics 365 (lokálne) | Dôležité |
Microsoft Edge (na báze Chromium) | CVE-2021-30591 | Chromium: CVE-2021-30591 Použite zadarmo v API systému súborov | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30592 | Chromium: CVE-2021-30592 Mimo hraníc napíšte do skupín v kartách | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30597 | Chromium: CVE-2021-30597 Použite zadarmo v používateľskom rozhraní prehliadača | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30594 | Chromium: CVE-2021-30594 Použite zadarmo v používateľskom rozhraní Informácie o stránke | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30596 | Chromium: CVE-2021-30596 Nesprávne používateľské rozhranie zabezpečenia v navigácii | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30590 | Chromium: CVE-2021-30590 pretečenie haldy vyrovnávacej pamäte v záložkách | Neznáme |
Microsoft Edge (na báze Chromium) | CVE-2021-30593 | Chromium: CVE-2021-30593 Mimo hraníc odčítaných v páse kariet | Neznáme |
Grafický komponent Microsoft | CVE-2021-34530 | Chyba zabezpečenia pri vzdialenom spustení kódu grafického komponentu Windows | Kritické |
Grafický komponent Microsoft | CVE-2021-34533 | Zraniteľnosť chyby vzdialeného vykonávania kódu grafickej súčasti systému Windows a analýzy písma | Dôležité |
Microsoft Office | CVE-2021-34478 | Chyba zabezpečenia pri vzdialenom spustení kódu Microsoft Office | Dôležité |
Microsoft Office SharePoint | CVE-2021-36940 | Chyba zabezpečenia pred falšovaním servera Microsoft SharePoint | Dôležité |
Microsoft Office Word | CVE-2021-36941 | Chyba zabezpečenia pri vzdialenom spustení kódu programu Microsoft Word | Dôležité |
Microsoft Scripting Engine | CVE-2021-34480 | Chyba zabezpečenia pred poškodením pamäte skriptovacieho motora | Kritické |
Knižnica kodekov Microsoft Windows | CVE-2021-36937 | Zraniteľnosť vzdialeného spustenia kódu Windows Media MPEG-4 Video Decoder | Dôležité |
Klient vzdialenej pracovnej plochy | CVE-2021-34535 | Chyba zabezpečenia vzdialeného spustenia kódu klienta vzdialenej plochy | Kritické |
Služba Windows Bluetooth | CVE-2021-34537 | Windows Driver Driver - zvýšená chyba zabezpečenia | Dôležité |
Kryptografické služby Windows | CVE-2021-36938 | Zraniteľnosť zverejnenia informácií o knižnici kryptografických primitív systému Windows | Dôležité |
Ochranca systému Windows | CVE-2021-34471 | Chyba zabezpečenia systému Windows Windows Defender v znížení úrovne oprávnení | Dôležité |
Sledovanie udalostí systému Windows | CVE-2021-34486 | Windows Event Tracing Zvýšenie zraniteľnosti privilégií | Dôležité |
Sledovanie udalostí systému Windows | CVE-2021-34487 | Windows Event Tracing Zvýšenie zraniteľnosti privilégií | Dôležité |
Sledovanie udalostí systému Windows | CVE-2021-26425 | Windows Event Tracing Zvýšenie zraniteľnosti privilégií | Dôležité |
Windows Media | CVE-2021-36927 | Registračná aplikácia zariadenia Windows Digital TV Tuner Zvýšenie zraniteľnosti oprávnenia | Dôležité |
Platforma Windows MSHTML | CVE-2021-34534 | Chyba zabezpečenia pri vzdialenom spustení kódu platformy Windows MSHTML | Kritické |
Windows NTLM | CVE-2021-36942 | Zraniteľnosť spoofingu systému Windows LSA | Dôležité |
Komponenty zaraďovača Windows | CVE-2021-34483 | Zvýšenie zraniteľnosti programu Windows Print Spooler | Dôležité |
Komponenty zaraďovača Windows | CVE-2021-36947 | Chyba zabezpečenia pri vzdialenom spustení kódu Windows Print Spooler | Dôležité |
Komponenty zaraďovača Windows | CVE-2021-36936 | Chyba zabezpečenia pri vzdialenom spustení kódu Windows Print Spooler | Kritické |
Služby Windows pre ovládač NFS ONCRPC XDR | CVE-2021-36933 | Služby systému Windows pre NFS ONCRPC XDR Zverejnenie informácií o chybe zabezpečenia | Dôležité |
Služby Windows pre ovládač NFS ONCRPC XDR | CVE-2021-26433 | Služby systému Windows pre NFS ONCRPC XDR Zverejnenie informácií o chybe zabezpečenia | Dôležité |
Služby Windows pre ovládač NFS ONCRPC XDR | CVE-2021-36932 | Služby systému Windows pre NFS ONCRPC XDR Zverejnenie informácií o chybe zabezpečenia | Dôležité |
Služby Windows pre ovládač NFS ONCRPC XDR | CVE-2021-26432 | Služby systému Windows pre ovládač NFS ONCRPC XDR Chyba vzdialeného spustenia kódu | Kritické |
Služby Windows pre ovládač NFS ONCRPC XDR | CVE-2021-36926 | Služby systému Windows pre NFS ONCRPC XDR Zverejnenie informácií o chybe zabezpečenia | Dôležité |
Ovládač priestorov Windows Storage Spaces | CVE-2021-34536 | Radič úložných priestorov Zvýšenie zraniteľnosti privilégií | Dôležité |
Windows TCP/IP | CVE-2021-26424 | Chyba zabezpečenia vzdialeného spustenia kódu Windows TCP/IP | Kritické |
aktualizácia systému Windows | CVE-2021-36948 | Windows Update Medic Service - Zvýšenie zraniteľnosti privilégií | Dôležité |
Windows Update Assistant | CVE-2021-36945 | Asistent aktualizácie systému Windows 10 Zvýšenie zraniteľnosti oprávnení | Dôležité |
Windows Update Assistant | CVE-2021-26431 | Windows Recovery Environment Agent Zvýšenie zraniteľnosti privilégií | Dôležité |
Služba profilu používateľa systému Windows | CVE-2021-34484 | Služba profilu používateľa systému Windows Zvýšenie zraniteľnosti privilégií | Dôležité |
Služba profilu používateľa systému Windows | CVE-2021-26426 | Profil používateľského účtu Windows Obrázok Zvýšenie zraniteľnosti privilégií | Dôležité |
Tento mesiac však môžeme očakávať obmedzený počet CVE adresovaných vo všetkých operačných systémoch, pretože Microsoft sa vracia z posledných letných prázdnin.
Teraz sme za polovicou bodu rozšírených aktualizácií zabezpečenia (ESU) pre Windows 7 a Server 2008/2008 R2, takže každý, kto používa tieto operačné systémy, by mal pracovať na schéme inovácie.
S ohláseným CVE-2021-40444 by sme sa určite mali dočkať aj aktualizácie programu Internet Explorer.
Ak vás zaujíma Adobe Acrobat a Reader, vedzte, že budú aktualizované, pretože spoločnosť Adobe poskytla poradenstvo v oblasti zabezpečenia predbežného oznámenia. APSB21-55.
To by teda mal byť celkom ľahký septembrový patch utorok, ale užívajte si to, kým to trvá, pretože toto je vlastne pokoj pred búrkou.
Ako vieme, aktualizácie softvéru sa zvyčajne začínajú v októbri a novembri pred koncom roka prázdniny a musíme tiež zvážiť pridanie podpory na vydanie všetkých týchto nových prevádzok systémy.