LOGG INN[JustisCERT-varsel] [#031-2021] [TLP:CLEAR] Microsoft og Adobe-sårbarheter for mai 2021
Microsoft har publisert sikkerhetsoppdateringer for mai 2021. Det er totalt 55, hvor 4 er vurdert som kritisk og 50 som alvorlig. Flere av sårbarhetene kan utnyttes til fjernkjøring av kode og til å ta kontroll over brukere og systemer. Vær spesielt oppmerksom på de 4 kritiske sårbarhetene som berører Windows HTTP Protocol Stack på Windows klient/server operativsystem (CVSS 9.8), Hyper-V (CVSS 9.9), OLE Automation og Internet Explorer samt nye alvorlige sårbarheter som berører Microsoft Exchange Server 2013, 2016 og 2019 (CVSS 6.5-7.8) og SharePoint (CVSS 8.8). I følge Microsoft så finnes det tilgjengelig exploit-kode for å utnytte 3 av de omtalte sårbarhetene.
Adobe har publisert sikkerhetsoppdateringer for Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat og Reader, Magento, Creative Cloud Desktop, Media Encoder, After Effects, Medium og Animate. Sårbarhetene i Adobe Reader er observert aktivt utnyttet.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer om sårbarhetene.
Berørte produkter er blant annet:
- Microsoft Windows (klient og server)
- Microsoft .NET Core
- Microsoft Visual Studio
- Microsoft Internet Explorer
- Microsoft Office
- Microsoft SharePoint Server
- Microsoft Hyper-V
- Microsoft Skype for Business og Microsoft Lync
- Microsoft Exchange Server (2013, 2016 og 2019)
- Adobe Experience Manager
- Adobe InDesign
- Adobe Illustrator
- Adobe InCopy
- Adobe Genuine Service
- Adobe Acrobat og Reader
- Adobe Magento
- Adobe Creative Cloud Desktop
- Adobe Media Encoder
- Adobe After Effects
- Adobe Medium
- Adobe Animate
Anbefalinger:
- Patch/oppdater berørte produkter
- Avinstaller programvare som ikke benyttes
- Prioriter patching av Exchange
- Prioriter systemer som kan nås fra internett
Kilder: