Wraz z dziewiątą rundą poprawek wtorkowych aktualizacji roku 2020, w centrum zainteresowania prawie wszystkich są ulepszenia bezpieczeństwa.
Chociaż wszyscy naprawdę niecierpliwie czekają na wszystkie nowe funkcje i ulepszenia wydajności, głównym celem aktualizacji Patch Tuesday jest lista CVE, które są z nią dostarczane.
Niestety rok 2020 okazał się dość trudnym rokiem, jeśli chodzi o bezpieczeństwo, a wykryte do tej pory liczby prawie przekraczają cały zeszły rok..
Oto krótkie podsumowanie liczby CVE, które zostały wyśledzone w tym roku:
- Luty: 99 CVE
- Marzec: 115 CVE
- Kwiecień: 118 CVE
- Maj: 147 CVE
- Czerwiec: 139 CVE
- Lipiec: 136 CVE
- Sierpień: 146 CVE
Podążając za tym niefortunnym trendem, wrześniowa łatka zawiera 147 luk w zabezpieczeniach, które zostały wykryte i którymi się zajmowano.
Jak zawsze mają one wpływ zarówno na luki w zabezpieczeniach firmy Microsoft, jak i Adobe, począwszy od Ważny do Krytyczny.
Tylko w tym miesiącu zidentyfikowano 147 luk
Jak zwykle najwięcej luk w zabezpieczeniach wykazują produkty firmy Microsoft, z których 128 wykryto ze 147, a pozostałe 18 przypisuje się produktom Adobe.
Luki znalezione w produktach Adobe
W tym miesiącu wykryto luki w 3 produktach Adobe:
- InDesign
- Framemaker
- Adobe Experience Manager
Podczas gdy program InDesign ma 5 poprawek związanych z uszkodzeniami pamięci, Framemaker musiał naprawić dwie luki w zabezpieczeniach o wartości krytycznej: odczyt poza zakresem i przepełnienie bufora opartego na stosie.
Luki w zabezpieczeniach znalezione w produktach firmy Microsoft
Jak zawsze, w wielu innych produktach firmy Microsoft wykryto luki, które zostały im przypisane. Należą do nich produkty takie jak Microsoft Windows, Edge (oparte na EdgeHTML i oparte na Chromium), ChakraCore, Internet Explorer (IE), SQL Server i inne.
Spośród wszystkich 129 wykrytych luk 23 zostały ocenione jako Krytyczny 105 zostały uznane Ważny, i jeden był brany pod uwagę Umiarkowany.
Które były jednymi z najpoważniejszych CVE?
Spośród 129 odkrytych luk w zabezpieczeniach, oto niektóre, które wyróżniały się bardziej niż inne:
- CVE-2020-16875
- Luka w zabezpieczeniach Microsoft Exchange związana z uszkodzeniem pamięci
- CVE-2020-1129
- Luka umożliwiająca zdalne wykonanie kodu w bibliotece kodeków Microsoft Windows
- CVE-2020-0922
- Luka w zabezpieczeniach narzędzia Microsoft COM dla systemu Windows umożliwiająca zdalne wykonanie kodu
- CVE-2020-0951
- Luka umożliwiająca obejście funkcji zabezpieczeń kontroli aplikacji programu Windows Defender
Jak wspomniano wcześniej, luki w zabezpieczeniach rosną i chociaż wrzesień ma tylko jedną lukę więcej w porównaniu z sierpniem, jest to tylko przypomnienie, że jest to 7 miesiąc z ponad 110 odkrytymi lukami,
Aby zapoznać się z pełną listą wszystkich zidentyfikowanych CVE we wrześniowych aktualizacjach łatki, przejdź do tego dedykowanego artykułu, a znajdziesz tam wszystko, co trzeba wiedzieć.
Jeśli znasz jakieś inne luki w zabezpieczeniach, które nie zostały jeszcze omówione w tym miesiącu, najprawdopodobniej zostaną one naprawione w następnych wtorkowych aktualizacjach..
A skoro o tym mowa, kolejna runda aktualizacji będzie dostępna od 12 października.
Często zadawane pytania: dowiedz się więcej o CVE
- Jak oceniane są CVE?
CVE są oceniane z Ważny do Krytyczny, przy założeniu, że kryteria są podstawą, to jak łatwo jest wykorzystać lukę i jak poważne mogą być konsekwencje.
- Jaka jest różnica między CVE a CVESS?
Chociaż CVE jest luką w zabezpieczeniach, CVSS reprezentuje jej powagę.
- Czy wykryto więcej luk w zabezpieczeniach?
Jeśli chodzi o rok 2020, to już w sierpniu przekroczyliśmy liczbę luk wykrytych w 2019 roku.
- cegła suszona na słońcu
- Bezpieczeństwo cybernetyczne
- patch wtorek
- Windows 10