[JustisCERT-varsel] [#010-2021] [TLP:CLEAR] Microsoft og Adobe sårbarheter for februar 2021
Microsoft har publisert sine månedlige sikkerhetsoppdateringer for februar 2021. Det er totalt 56, hvor 11 av dem er vurdert som kritisk og 43 er alvorlig. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer. Vær spesielt oppmerksom på Windows sårbarheten CVE-2021-1732 som aktivt utnyttes. Dette er en «privilege escalation» sårbarhet som krever en pålogget bruker, men som sammen med en sårbarhet i eksempelvis Adobe Acrobat Reader enkelt kan utnyttes i kjede.
Adobe har publisert sikkerhetsoppdateringer for Dreamweaver, Illustrator, Animate, Photoshop, Magento, Acrobat og Reader. Vær spesielt oppmerksom på Adobe Acrobat sårbarheten CVE-2021-21017 «heap-based buffer overflow» som Adobe sier det finnes eksempler på utnyttelse av, og som gir mulighet til å fjernkjøre kode.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer om sårbarhetene.
Berørte produkter er blant annet:
- Microsoft Windows (klient og server)
- Windows Defender
- .NET Framework
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Office, Office Services og Web Apps
- Microsoft Sharepoint
- Skype for Business og Lync
- Azure IoT
- Azure Kubernetes Service
- Adobe Dreamweaver
- Adobe Illustrator
- Adobe Animate
- Adobe Photoshop
- Adobe Acrobat
- Adobe Reader
- Adobe Magento
Anbefalinger:
- Patch berørte produkter
- Prioriter systemer som kan nås fra internett først
Kilder: