Díky 9. kolu aktualizací Patch Tuesday z roku 2020 je v centru pozornosti téměř každého vylepšení zabezpečení.
Zatímco všichni opravdu dychtivě čekají na všechny nové funkce a vylepšení výkonu, hlavním zaměřením aktualizací Patch Tuesday je seznam CVE, které s ním přicházejí.
Rok 2020 se bohužel ukázal jako docela náročný rok, pokud jde o bezpečnost, přičemž dosud zjištěná čísla téměř převyšovala celý loňský rok.
Tady je malý přehled počtu CVE, které byly letos sledovány:
- Únor: 99 CVE
- Březen: 115 CVE
- Duben: 118 CVE
- Květen: 147 CVE
- Červen: 139 CVE
- Červenec: 136 CVE
- Srpen: 146 CVE
V souladu s tímto neblahým trendem přináší září Patch Tuesday 147 zranitelných míst, které byly detekovány a řešeny.
Jako vždy to ovlivňuje chyby zabezpečení související s Microsoftem i Adobe, jejichž závažnost se pohybuje od Důležité na Kritický.
Jen za tento měsíc bylo identifikováno 147 chyb zabezpečení
Jako obvykle představují produkty společnosti Microsoft nejvíce chyb zabezpečení, přičemž 128 z celkových 147 bylo zjištěno, zbývajících 18 připadá na produkty Adobe.
Zranitelnosti nalezené v produktech Adobe
Tento měsíc byly nalezeny chyby zabezpečení u 3 produktů Adobe:
- InDesign
- Framemaker
- Adobe Experience Manager
Zatímco InDesign má 5 oprav poškození paměti, Framemaker musel mít opraveny dvě zranitelnosti s kritickým hodnocením: přečtení mimo hranice a přetečení vyrovnávací paměti založené na zásobníku.
Chyby zabezpečení nalezené v produktech společnosti Microsoft
Jako vždy, u mnoha dalších produktů společnosti Microsoft byly objeveny chyby zabezpečení, které jim byly připisovány. Patří mezi ně produkty jako Microsoft Windows, Edge (založené na EdgeHTML a Chromium), ChakraCore, Internet Explorer (IE), SQL Server a další.
Ze 129 objevených zranitelných míst bylo 23 hodnoceno jako Kritický, 105 byly považovány Důležité, a jeden byl považován Mírný.
Které byly jedny z nejzávažnějších CVE?
Ze 129 objevených zranitelností jsou zde některé, které vynikly více než ostatní:
- CVE-2020-16875
- Chyba zabezpečení týkající se poškození paměti Microsoft Exchange
- CVE-2020-1129
- Zranitelnost vzdáleného spuštění kódu v knihovně kodeků Microsoft Windows
- CVE-2020-0922
- Chyba zabezpečení Microsoft COM pro Windows při vzdáleném provádění kódu
- CVE-2020-0951
- Funkce zabezpečení aplikace Windows Defender s funkcí zabezpečení obchází chybu zabezpečení
Jak již bylo zmíněno dříve, zranitelnosti rostou, a přestože se září může pochlubit pouze jednou větší zranitelností ve srovnání s srpnem, je to jen připomínka, že toto je 7. měsíc s více než 110 objevenými zranitelnostmi,
Úplný seznam všech identifikovaných CVE pro aktualizace September Patch Tuesday najdete v tomto vyhrazeném článku a najdete tam vše, co je třeba vědět.
Pokud víte o dalších zranitelnostech, které tento měsíc ještě nebyly pokryty, bude to s největší pravděpodobností vyřešeno dalšími aktualizacemi Patch Tuesday.
Když už mluvíme o tom, další kolo aktualizací bude k dispozici od 12. října.
FAQ: Další informace o CVE
- Jak jsou hodnoceny CVE?
CVE jsou hodnoceny od Důležité na Kritický, s kritérii, která jsou základem, není snadné zneužít zranitelnost a jak závažné následky mohou být nakonec.
- Jaký je rozdíl mezi CVE a CVESS?
Zatímco CVE je zranitelnost, CVSS představuje její závažnost.
- Objevuje se více zranitelných míst?
Pokud jde o rok 2020, již v srpnu jsme překročili počet zranitelných míst nalezených v roce 2019.
- adobe
- Kybernetická bezpečnost
- oprava úterý
- Windows 10