Argitalpen data: 2021/02/10
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- . NET Core;
- .NET Framework;
- Azure IoT;
- Developer Tools;
- Microsoft Azure Kubernetes Service;
- Microsoft Dynamics;
- Microsoft Edge Android-erako;
- Microsoft Exchange Server;
- Microsoft Graphics Component;
- Microsoft Office Excel;
- Microsoft Office SharePoint;
- Microsoft Windows Codecs Library;
- Role: DNS Server;
- Role: Hyper-V;
- Role: Windows Fax Service;
- Business-erako Skype;
- SysInternals;
- System Center;
- Visual Studio;
- Windows Address Book;
- Windows Backup Engine;
- Windows Console Driver;
- Windows Defender;
- Windows DirectX;
- Windows Event Tracing;
- Windows Installer;
- Windows Kernel;
- Windows Mobile Device Management;
- Windows Network File System;
- Windows PFX Encryption;
- Windows PKU2U;
- Windows PowerShell;
- Windows Print Spooler Components;
- Windows Remote Procedure Call;
- Windows TCP/IP;
- Windows Trust Verification API.
Azalpena:
Segurtasun eguneratzeen inguruko Microsoft argitalpenean 65 ahultasun jaso dira; 11 kritiko gisa sailkatu dira, 45 garrantzitsu gisa, 2 moderatu gisa eta 7 oraindik larritasun-mailarik esleitu gabe.
Konponbidea:
Dagokion segurtasun-eguneratzea instalatzea. Microsoften orrian eguneratze horiek egiteko azalpenak eman dira.
Xehetasuna:
Argitaratutako ahultasun mota berriak honakoekin bat datoz:
- Zerbitzua ukatzea,
- Pribilegioak handitzea,
- Informazioa zabaltzea,
- Kodearen urrutiko exekuzioa.
- Segurtasun ezaugarrien omisioa,
- Nortasuna ordeztea (spoofing).
GARRANTZITSUA
- Microsoftek segurtasun-ohar bat argitaratu du larritasun handiko ahultasun bat konpontzeko, Microsoft Wink32k sistemako pribilegioen eskalatzearen motakoa, CVE-2021-1732 identifikatzailearekin.
- Tokiko erasotzaile batek ahultasun hori baliatu lezake kaltetutako sistema baten kontrola bereganatzeko. Ahultasun hori egun baliatzen ari dira.
- Microsoftek post argitaratu du, eta horren bidez adierazi du 3 ahultasun daudela Windowsen TCP/IP inplementazioan, eta erasotzaileek urrunetik baliatu ditzaketela, egiaztatu beharrik gabe. Lehenengo biak larritasun kritikokoak dira, eta horien bidez urrutiko kodea exekutatu liteke (CVE-2021-24074 eta CVE-2021-24094); hirugarrena larritasun handikoa da, eta horren bidez zerbitzu ukapenaren motako erasoak burutu litezke (CVE-2021-24086).
Etiketak: 0day, Eguneratzea, Komunikazioak, DNS, IoT, Microsoft, Nabigatzailea, Pribatutasuna, Ahultasuna.