Update Tuesday: Microsoft випустила квітневі оновлення безпеки
Оновлення у вівторок: корпорація Майкрософт випустила квітневі оновлення системи безпеки
Microsoft випустила заплановані оновлення безпеки, що охоплюють 114 вразливостей, включаючи 6 вразливостей в Microsoft Edge і 4 вразливості в Exchange Server. 19 вразливостей були класифіковані як "Критичні" і 88 як "Важливі". Серед закритих вразливостей дві були оприлюднені. публічно, а експлуатація однієї з цих вразливостей була зафіксована в реальних атаках (0-денний).
Особливу увагу варто звернути на наступні вразливості і оновлення безпеки:
Була розглянута критична вразливість віддаленого виконання коду CVE-2021-28329 в компонентах середовища виконання RPC, яка впливає на всі підтримувані версії Windows і Windows Server. CVSS має рейтинг 8,8, а згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
квітневі оновлення також виправляють важливе підвищення вразливості привілеїв cve-2021-28313 в компонентах центру діагностики Windows . Ця вразливість впливає на останні версії Windows 10 і Windows Server 20H2, 2004, 1909. CVSS був оцінений в 7,8, і згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
Також було розглянуто важливе підвищення вразливості привілеїв CVE-2021-28347 в компонентах Windows Speech Runtime . Постраждали всі підтримувані версії Windows 10. CVSS має рейтинг 7.8, а згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
Усуває важливу вразливість віддаленого виконання коду , CVE-2021-27091 , у компонентах RPC Endpoint Mapper, які були оприлюднені. Ця вразливість впливає лише на Windows Server 2012. CVSS оцінюється як 7.8, і атаки з використанням цієї вразливості мають низьку ймовірність на основі Індексу експлуатації.
Оновлення також закривають критичну вразливість віддаленого виконання коду CVE-2021-27095 у відеодекодері Windows Media, яка впливає на всі версії Windows. Рейтинг CVSS склав 7,8, і згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
важлива вразливість віддаленого виконання коду cve-2021-28445 у компонентах мережевої файлової системи Windows (nfs) була вирішена . 1803. Рейтинг CVSS склав 8,1, і згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
Усунуто важливу вразливість віддаленого виконання коду CVE-2021-28451 в Microsoft Excel. На цю вразливість впливають Microsoft Office 2019 для Windows / Mac, Microsoft Excel 2013-2016, Microsoft 365 Apps for Enterprise, Microsoft Office Online Server, Microsoft Office Web Apps Server 2013 . Рейтинг CVSS склав 7,8, і згідно з Індексом експлуатації, атаки з використанням цієї вразливості мають низьку ймовірність.
Закриває керівна команда квітневого випуску вразливості нульового дня, вже використовуваної в атаках - це важливий привілей ескалації вразливості CVE-2021-28310 в win 32 k компонентів . 20H2, 2004, 1909, 1809, 1803. CVSS отримав оцінку 7.8.
На окрему увагу заслуговує ряд вразливостей в поштовому сервері Microsoft Exchange. На цей раз страждають всі підтримувані версії Exchange Server 2013, 2016, 2019 років.
Примітка: Крім запланованих оновлень, березень був позаплановим випуском оновлень безпеки для локальних версій Microsoft Exchange Server 2010, 2013, 2016, 2019. Детальніше про цей випуск читайте в нашому блозі.
Всі 4 вразливості в квітневому випуску CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 були класифіковані як «Критичні», і потенційно дозволяють зловмиснику віддалено виконувати довільний код на поштовому сервері.
Інформація про ці вразливості не була оприлюднена і на даний момент використання робочих експлойтів в реальних атаках не зафіксовано. Найвищий рейтинг CVSS серед вразливостей склав 9,8 з 10 (найнижчий рейтинг - 8,8) і за індексом експлуатації атаки з використанням цих вразливостей мають високий рівень ймовірності.
Варто відзначити, що для установки оновлень безпеки потрібно мати підтримуваний сукупний рівень пакета на своїх поштових серверах:
- Сервер обміну 2013 CU23
- Сервер обміну 2016 CU19/CU20
- Сервер обміну 2019 CU8/CU9
Дізнатися всі подробиці можна в блозі команди Microsoft Exchange: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
Інші вразливості були виправлені в компонентах Microsoft Edge (на движку Chromium), Microsoft Office (додатки і веб-служби), SharePoint Server, Visual Studio, VS Code, Azure DevOps Server, Azure Sphere, GitHub Витягніть запити та проблеми розширення та розширення Maven Java .