- CVE pomenijoPogoste ranljivosti in izpostavljenostiin se razlikujejo po obliki in vplivu.
- Med Patch torkom je poročilo o vseh CVE objavljeno za splošno javnost.
- CVE se ocenjujejo glede na resnost, od pomembnih do resnejših, ki so ocenjene kot kritične.
- Preberite več o CVE-jih tega meseca in po potrebi posodobite svoj računalnik.
Vsi vemo, da je poudarek posodobitev Patch Tuesday izboljšanje izkušnje Windows za uporabnike, vendar ne gre le za dodajanje, izboljšanje in popravljanje funkcij.
Vendar je še en ključni vidik teh posodobitev varnostne izboljšave, ki so z njimi, in to je skoraj zato priporočamo, da vsi dobijo te posodobitve, takoj ko so na voljo v vašem regiji.
No, 11. maj je tu, posodobitve Patch Toreka pa so tudi tukaj, kar pomeni, da so tudi poročila CVE.
Do zdaj je bilo leta 2021 v CVE precej veliko, vsak mesec so odkrili naslednje številke:
- Januar: 91
- Februar: 106
- Marec: 97
- April: 124
Tu je na kratko povzetek stanja CVE tega meseca za izdelke Adobe in Microsoftove izdelke, izpostavili pa bomo tudi nekatere hujše odkrite.
Majsko poročilo CVE vključuje 98 identificiranih CVE
Ranljivosti, najdene v izdelkih Adobe
Adobe je izdal skupno 12 popravkov, ki naj bi popravili 43 identificiranih CVE-jev, ki so vplivali na Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat in Reader, Magento, Creative Cloud Desktop, Media Encoder, Medium in Animacija.
Od 43 skupnih Adobe CVE-jev je 14 ciljalo Adobe Acrobat Reader, od katerih eden še vedno ni rešen, in jih je mogoče uporabiti za izkoriščanje uporabniških podatkov prek spremenjenih datotek PDF, odprtih v programu Acrobat.
Ranljivosti, najdene v Microsoftovih izdelkih
Večino tega mesečnega poročila CVE, kot vedno, predstavljajo CVE, povezane z Microsoftom, in jih je skupaj 55.
Te CVE ciljajo na Microsoft Windows, .NET Core in Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, odprtokodna programska oprema, Hyper-V, Skype za podjetja in Microsoft Lync ter Exchange Strežnik.
Kar zadeva resnost teh 55 hroščev, so bile ocenjene na naslednji način:
- 4 so ocenjeni kot Kritično
- Ocenjeno je 50 Pomembno
- Eden je ocenjen Zmerno v resnosti.
Katere so bile najhujše CVE?
Nekatere CVE v tem poročilu izstopajo bodisi zaradi tega, kako enostavno jih je bilo izkoristiti, bodisi zaradi priljubljenosti ciljanega programa, in so naslednje:
-
CVE-2021-31166
- Ranljivost oddaljenega izvajanja kode protokola HTTP
-
CVE-2021-28476
- Ranljivost oddaljenega izvajanja kode Hyper-V
-
CVE-2021-27068
- Ranljivost oddaljenega izvajanja kode Visual Studio
-
CVE-2020-24587
- Ranljivost razkritja informacij o brezžičnem omrežju Windows
Tu je popoln seznam vseh CVE, vključenih v mesečno poročilo:
CVE |
Naslov |
Resnost |
| CVE-2021-31204 | .NET Core in Visual Studio Višina ranljivosti Privilege | Pomembno |
| CVE-2021-31200 | Ranljivost skupnih pripomočkov za oddaljeno izvajanje kode | Pomembno |
| CVE-2021-31207 | Varnostna funkcija Microsoft Exchange Server obide ranljivost | Zmerno |
| CVE-2021-31166 | Ranljivost oddaljenega izvajanja kode protokola HTTP | Kritično |
| CVE-2021-28476 | Ranljivost oddaljenega izvajanja kode Hyper-V | Kritično |
| CVE-2021-31194 | Ranljivost OLE Automation Remote Execution Code | Kritično |
| CVE-2021-26419 | Ranljivost poškodovanosti pomnilnika skriptnega mehanizma | Kritično |
| CVE-2021-28461 | Ranljivost pri skriptiranju med spletnimi mesti Dynamics Finance in Operations | Pomembno |
| CVE-2021-31936 | Microsoftovi vpogledi v dostopnost za ranljivost razkritja spletnih informacij | Pomembno |
| CVE-2021-31182 | Microsoftova napaka za ponarejanje gonilnikov Bluetooth | Pomembno |
| CVE-2021-31174 | Ranljivost razkritja informacij Microsoft Excel | Pomembno |
| CVE-2021-31195 | Ranljivost izvajanja oddaljene kode strežnika Microsoft Exchange | Pomembno |
| CVE-2021-31198 | Ranljivost izvajanja oddaljene kode strežnika Microsoft Exchange | Pomembno |
| CVE-2021-31209 | Ranljivost zavajanja strežnika Microsoft Exchange | Pomembno |
| CVE-2021-28455 | Ranljivost Microsoft Jet Red Database Engine in Access Connectivity Engine Remote Code Execution | Pomembno |
| CVE-2021-31180 | Ranljivost Microsoftovega grafičnega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31178 | Ranljivost razkritja informacij Microsoft Office | Pomembno |
| CVE-2021-31175 | Ranljivost Microsoftovega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31176 | Ranljivost Microsoftovega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31177 | Ranljivost Microsoftovega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31179 | Ranljivost Microsoftovega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31171 | Ranljivost razkritja informacij Microsoft SharePoint | Pomembno |
| CVE-2021-31181 | Ranljivost Microsoftovega oddaljenega izvajanja kode | Pomembno |
| CVE-2021-31173 | Ranljivost razkritja informacij o strežniku Microsoft SharePoint | Pomembno |
| CVE-2021-28474 | Ranljivost Microsoftovega strežnika SharePoint Server Remote Code Execution | Pomembno |
| CVE-2021-26418 | Microsoftova SharePointova lažna ranljivost | Pomembno |
| CVE-2021-28478 | Microsoftova SharePointova lažna ranljivost | Pomembno |
| CVE-2021-31172 | Microsoftova SharePointova lažna ranljivost | Pomembno |
| CVE-2021-31184 | Ranljivost razkritja informacij Microsoftovega sistema za povezovanje infrardečih podatkov (IrDA) | Pomembno |
| CVE-2021-26422 | Ranljivost za oddaljeno izvajanje kode Skype za podjetja in Lync | Pomembno |
| CVE-2021-26421 | Napaka pri prevarah za Skype za podjetja in Lync | Pomembno |
| CVE-2021-31214 | Ranljivost za oddaljeno izvajanje kode Visual Studio | Pomembno |
| CVE-2021-31211 | Razširitev oddaljenega razvoja kode Visual Studio Code Ranljivost | Pomembno |
| CVE-2021-31213 | Razširitev oddaljenega razvoja kode Visual Studio Code Ranljivost | Pomembno |
| CVE-2021-27068 | Ranljivost oddaljenega izvajanja kode Visual Studio | Pomembno |
| CVE-2021-28465 | Ranljivost oddaljenega izvajanja kode za razširitve spletnih medijev | Pomembno |
| CVE-2021-31190 | Gonilnik filtra za izolacijo vsebnikov sistema Windows zvišanje ranljivosti privilegij | Pomembno |
| CVE-2021-31165 | Windows Container Manager Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-31167 | Windows Container Manager Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-31168 | Windows Container Manager Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-31169 | Windows Container Manager Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-31208 | Windows Container Manager Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-28479 | Windows Ranljivost razkritja informacij o storitvah CSC | Pomembno |
| CVE-2021-31185 | Ogroženost zavrnitve storitve Windows Desktop Bridge | Pomembno |
| CVE-2021-31170 | Grafična komponenta sistema Windows, dvig ranljivosti Privilege | Pomembno |
| CVE-2021-31188 | Grafična komponenta sistema Windows, dvig ranljivosti Privilege | Pomembno |
| CVE-2021-31192 | Osnovna ranljivost za izvajanje oddaljene kode za Windows Media Foundation | Pomembno |
| CVE-2021-31191 | Ranljivost razkritja informacij o gonilniku filtra za sistem Windows Projected File System FS | Pomembno |
| CVE-2021-31186 | Ranljivost razkritja informacij protokola RDP (Windows Remote Desktop Protocol) | Pomembno |
| CVE-2021-31205 | Varnostna funkcija odjemalca za SMB odjemalca Windows | Pomembno |
| CVE-2021-31193 | Windows SSDP Service Elevation of Privilege Ranljivost | Pomembno |
| CVE-2021-31187 | Windows WalletService Višanje ranljivosti Privilege | Pomembno |
| CVE-2020-24587 | Ranljivost razkritja informacij o brezžičnem omrežju Windows | Pomembno |
| CVE-2020-24588 | Windows ranljivost brezžičnega omrežja | Pomembno |
| CVE-2020-26144 | Windows ranljivost brezžičnega omrežja | Pomembno |
Ob tem bomo zaključili pregled tega meseca v poročilu CVE in priporočamo vsem z uporabo katerega koli od prizadetih izdelkov Adobe ali Microsoft takoj uporabite najnovejše posodobitve za torek mogoče.
Po drugi strani pa so uporabniki vedno lahko poskusili neodvisni protivirusi za pomoč pri varnosti, saj delujejo enako dobro, če ne celo bolje, kot posodabljanje računalnika.
Sporočite nam, kaj menite o poročilu CVE o tem mesecu, tako da nam v spodnjem oddelku za komentarje pustite svoje povratne informacije.
