Vuoden ensimmäisenä päivitystiistaina Microsoft julkaisi paikkauksia 83 haavoittuvuuteen, jotka kohdistuvat Windows-käyttöjärjestelmiin, Microsoftin selaimiin ja Office-tuotteisiin. Näistä 83 haavoittuvuudesta 10 on luokiteltu kriittisiksi.

Kriittisin korjattu haavoittuvuus on Microsoft Defenderin CVE-2021-1647 haavoittuvuus. Kyseinen haavoittuvuus mahdollistaa etänä suoritettavat komennot ja Microsoftin mukaan haavoittuvuutta on jo hyödynnetty aktiivisesti. CVE-2021-1647 haavoittuvuus on luokiteltu CVSS-arvolla 7,8.

Defenderin haavoittuvuuden lisäksi päivitykset korjaavat muutaman muun kriiittiseksi luokitellun haavoittuvuuden, joiden CVSS-arvo on 8,8. Näitä haavoittuvuuksia on CVE-2021-1660, CVE-2021-1666, CVE-2021-1667, CVE-2021-1658 sekä CVE-2021-1673, joita ei kuitenkaan olla havaittu hyödynnettävän.

Tärkeäksi luokitelluista päivityksistä nostona Googlen joulukuussa julkiseksi tuoma CVE-2021-1648 haavoittuvuus. Haavoittuvuus tunnettiin aiemmin nimellä CVE-2020-17008 ja siihen piti tulla korjaus jo vuoden 2020 lopulla, mutta testeissä havaittujen ongelmien vuoksi julkaisu siirrettiin tälle vuodelle. Haavoittuvuus on luokiteltu CVSS-arvolla 7,8.

Näiden ja muidenkin haavoittuvuuksien ominaisuuksia ja vaikutuksia on mahdollista tutkia tarkemmin CVSS-laskimella. Microsoft ilmoittaa NVD:n (National Vulnerability Database) CVSS-laskimen linkit per haavoittuvuus omissa haavoittuvuusartikkeleissaan.

Käyttöjärjestelmä Tunnetut ongelmat (viime kuu)
Windows 10, version 20H2 and Windows Server, version 20H2 2 (2)
Windows 10, version 2004 and Windows Server, version 2004 2 (2)
Windows 10, version 1909 ja 1903* and Windows Server, version 1903 1 (1)
Windows 10, version 1809 and Windows Server 2019 0 (1)
Windows 10, version 1803** 0 (0)
Windows 10, version 1709** and Windows Server, version 1709 1 (1)
Windows 10, version 1703*** Tuki on päättynyt
Windows 10, version 1607 LTSC*** and Windows Server 20162 1 (1)
Windows 8.1**** and Windows Server 2012 R2 1 (1)
Windows Server 2012 1 (1)
Windows 7**** and Windows Server 2008 R2 SP1 2 (2)

* 1909 jakaa edeltäjänsä 1903 saman käyttöjärjestelmän ytimen ja identtiset järjestelmätiedostot.

** Windows 10:n kyseisen koontiversion tuki on päättynyt versioilla: Home, Pro ja Enterprise.

*** Windows 10:n kyseisen koontiversion tuki on päättynyt kaikilla versioilla.

**** Windows version Mainstream-tukijakso on päättynyt. Extended-tukijaksot päättyvät: Windows 8.1 10.1.2023 ja Windows 7 14.1.2020.

Tammikuun päivityksistä suosittelemme priorisoimaan Defenderin haavoittuvuutta, vaikka se päivittyykin pääasiallisesti automaattisesti. Haavoittuvuus on korjattu Microsoft Protection Enginen versiossa 1.1.17700.4.

Huomaathan myös että Adobe Flash Playerin tuki päättyi vuoden 2020 päätyttyä. Mikäli ympäristöstänne löytyy vanhoja asennuksia, on ne syytä poistaa mahdollisimman pian, sillä mahdollisia uusia haavoittuvuuksia ei enää paikata. Voit lukea Flash Playereiden poistoista blogistamme.

Microsoft ylläpitää listaa Windows-päivityksistä ja niiden tunnetuista ongelmista seuraavilla sivuilla. Lisätietoja Windows-versioiden elinkaarista löytyy alimmasta linkistä.

Centero Software Manager Cloudin ja CSM Cloud for Serversin avulla laitteesi saavat nämäkin päivitykset hallitusti valitsemasi konfiguraation mukaisesti. Lue lisää Centero Software Managerista täältä.

Lisää luettavaa aiheesta:

Joulun kunniaksi harvinaisen vähän haavoittuvuuksia

Korjattujen haavoittuvuuksien määrässä päästiin jälleen alle sadan ja reilusti. Selaimet, Windows-käyttöjärjestelmät ja Office saivat korjaukset 39 haavoittuvuuteen. Joulukuussa ei ollut lainkaan yleisesti julkistettuja tai tiedettävästi hyväksikäytettyjä haavoittuvuuksia. Microsoftin mukaan kriittisiä haavoittuvuuksia on korjattu muutama kappale. Korkein CVSS arvo osuu Sharepoint-server tuotteen haavoittuvuuteen CVE-2020-17121. Tässä kuussa myös Office-tuote perhe sai korjauksia 15 haavoittuvuuteen. Näissä CVSS-arvo jää […]

Lokakuussa on monta yleisesti julkistettua haavoittuvuutta

Windows-käyttöjärjestelmille, Microsoft-selaimille ja Officelle on julkaistu yhteensä 76 haavoittuvuudelle tietoturvapäivitys. Määrällisesti trendi on laskenut huomattavasti aiempiin kuukausiin, joka on tietenkin hyvän asia. Siitä huolimatta tätäkään tietoturvatiistaita ei voida sivuuttaa sillä joukkoon mahtuu kriittisiä haavoittuvuuksia ja harvinaisen monta yleisesti julkaistua haavoittuvuutta. Allekirjoittanut ei muista, että ainakaan hetkeen olisi ollut viittä haavoittuvuutta jotka ovat joutuneet julkistetuksi jo […]