Älä viivyttele Windows 10 May Patch Tuesday -päivityksen asentamista – se korjaa 3 nollapäivän hyväksikäyttöä

Aina käydään keskustelua siitä, onko parasta lykätä kuukausittaisen Windows 10:n kumulatiivisen päivityksen asentamista, jotta muut voivat löytää sen virheitä, vai pitäisikö se asentaa välittömästi, jotta korjaukset saadaan mahdollisimman pian.

Tässä kuussa uutiset siitä, että päivitys korjaa 55 äskettäin löydettyä virhettä, mukaan lukien 4 kriittisiksi luokiteltua ja kolme nollapäivän hyväksikäyttöä, voivat auttaa kaatamaan tasapainoa.

Nuo ovat:

CVE-2021-31204

CVE-2021-31204 on haavoittuvuus, joka vaikuttaa .NET:iin ja Visual Studioon ja voi antaa onnistuneen hyökkääjän korottaa käyttöoikeuksiaan. Microsoft on julkaissut korjaustiedostoja Microsoft Visual Studio 2019:lle Windowsille ja macOS:lle sekä .NET 5.0:lle ja .NET Core 3.1:lle. Microsoft ilmoittaa, että vaikka tämä on julkistettu, sitä ei ole hyödynnetty luonnossa. On Lisätiedot koskien tätä haavoittuvuutta, joka on saatavilla dotnet github -sivulla.

Microsoft on arvioinut tämän hyväksikäytöksi vähemmän todennäköiseksi viimeisimmässä ohjelmistojulkaisussa Käytettävyysindeksi.

CVE-2021-31207

CVE-2021-31207 on Microsoft Exchange Serverin haavoittuvuus. Tässä tapauksessa se on PWN2OWN 2021:n aikana löydetty suojausominaisuuksien ohitus.

Microsoft on arvioinut tämän Exploitation Less Likely -sovelluksen Exploitability Indexin uusimmassa ohjelmistojulkaisussa.

CVE-2021-31200

Tämä koodin suoritushaavoittuvuus löytyy Neural Network Intelligencestä (NNI), avoimen lähdekoodin työkalusta AutoML-kokeilujen hallintaan. Koska kyseessä on avoimen lähdekoodin projekti, voit nähdä koodin muutos joka tehtiin tämän haavoittuvuuden ratkaisemiseksi.

Microsoft on arvioinut tämän hyväksikäytöksi vähemmän todennäköiseksi viimeisimmässä ohjelmistojulkaisussa Käytettävyysindeksi.

Lue loput ThePatch Tuesday -muutoslokia täältä ja asenna päivitys Tarkistamalla päivitykset asetuksista.

kautta Ansalanka, WBI