Jak zapewne już się domyślasz, wtorek łatki już tu jest, a Microsoft po raz kolejny wydał nową rundę głównych aktualizacji dla wszystkich wersji systemu Windows 10.
To, co sprawia, że jest to bardziej interesujące, to fakt, że jest to również pierwsza runda aktualizacji wtorkowych poprawek od czasu premiery systemu Windows 10 v2004..
Oczywiście całkowicie nowa wersja systemu Windows 10 oznacza również, że nowe CVE mają potencjał, aby się pojawiać i wymagają naprawy, przynajmniej teraz w początkowej fazie.
Ci z Was, którzy często pozostają w kontakcie z tym, co dzieje się w świecie bezpieczeństwa, prawdopodobnie zauważyli, że od początku roku obserwuje się stały wzrost CVE.
Oto krótkie podsumowanie sposobu obsługi tych CVE:
- Luty: 99 CVE
- Marzec: 115 CVE
- Kwiecień: 118 CVE
- Maj: 147 CVE
139 CVE zostało poprawionych podczas czerwcowej aktualizacji
Podsumowując, w tym miesiącu tegoroczna runda aktualizacji wtorkowych poprawek zawiera poprawki do 10 CVE związanych z Adobe i 129 CVE związanych z Microsoft, co daje łącznie 139 CVE.
CVE związane z Adobe
Do tej pory zidentyfikowano 10 CVE, które obejmują Adobe Flash, Experience Manager i Framemaker.
10 zidentyfikowanych CVE oceniono w następujący sposób:
- 2 są oceniane jako Krytyczny
- 1 ma ocenę Ważny
Na szczęście żaden z błędów załatanych przez Adobe w tym miesiącu nie został wymieniony jako publicznie znany, a więcej z nich zostało oznaczonych jako będące w trakcie aktywnego ataku.
CVE związane z firmą Microsoft
Jak wspomniano powyżej, w tym miesiącu zidentyfikowano 129 CVE, obejmujących szeroką gamę aplikacji i usług firmy Microsoft.
Należą do nich Microsoft Windows, Internet Explorer (IE), Microsoft Edge, ChakraCore, Office i Microsoft Office Services.
Co więcej, wykryto również CVE dotyczące aplikacji internetowych, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps i Microsoft Apps dla Androida.
129 zidentyfikowanych CVE oceniono w następujący sposób:
- 11 są oceniane jako istoty Krytyczny
- 118 są oceniane jako istoty Ważny
Które były jednymi z najpoważniejszych CVE?
- CVE-2020-1299
- Luka umożliwiająca zdalne wykonanie kodu LNK
- CVE-2020-1229
- Luka umożliwiająca obejście funkcji zabezpieczeń programu Microsoft Outlook
- CVE-2020-1300
- Luka umożliwiająca zdalne wykonanie kodu systemu Windows
- CVE-2020-1281
- Luka umożliwiająca zdalne wykonanie kodu OLE w systemie Windows
To tylko niektóre z najbardziej godnych uwagi CVE, które zostały uwzględnione przez firmę Microsoft podczas czerwcowej rundy aktualizacji wtorkowych poprawek w czerwcu 2020 r.
Dla tych z Was, którzy znają inne CVE, które jeszcze nie zostało omówione, będą musieli poczekać do 14 lipca na następną rundę poprawek.
Często zadawane pytania: dowiedz się więcej o CVE
- Co oznacza CVE?
CVE to skrót od Common Vulnerabilities and Exposures. Te luki są zwykle związane z zagrożeniami bezpieczeństwa występującymi zarówno w produktach Adobe, jak i Microsoft.
- Kto utrzymuje CVE?
- Co to jest CVE w zabezpieczeniach?
Numer przypisany do CVE to numer identyfikacyjny CVE przypisany do luki w zabezpieczeniach i jest on niepowtarzalny w zależności od przypadku.
- patch wtorek
- Windows 10
- aktualizacje systemu Windows 10