Monthly Archives: April 2023

Olulised turvanõrkused 2023. aasta 13. nädalal

Apple paikas WebKiti nullpäeva turvanõrkuse ka vanemates seadmetes

Eelmisel kuul avalikustati ja paigati nullpäeva turvanõrkus (CVE-2023-23529) uuematel iPhone’i nutitelefonidel ja iPadi tahvelarvutitel. Nüüd on see turvapaik saadaval ka vanematele mudelitele. Apple’i kinnitusel on haavatavust kuritarvitatud ning ründajatel on võimalik kompromiteeritud seadmes käivitada pahatahtlikku koodi (BP).

Kes ja mida peaks tegema?

Turvaviga on parandatud iOSi ja iPadOSi versioonides 15.7.4, mida pakutakse järgnevatele mudelitele:

iPhone 6s;
iPhone 7;
iPhone SE (esimene generatsioon);
iPad Air 2;
iPad mini (neljas generatsioon);
iPod touch (seitsmes generatsioon).

Soovitame kõigil, kes mainitud seadmeid kasutavad, uus versioon esimesel võimalusel rakendada.

Apple parandas uute iOSi, iPadOSi ja macOSi versioonidega mitukümmend turvaviga

Apple avalikustas iOS-ist ja iPad OS-ist uue versiooni tähisega 16.4, mis parandab 33 haavatavust. Samuti avalikustati uued macOSi versioonid. MacOS Ventura 13.3 parandab peaaegu 60 haavatavust, macOS Monterey 12.6.4 ja Big Sur 11.7.5 aga enam kui 25 haavatavust. Mõned parandatud vead on üsna tõsised, kuigi teadaolevalt pole ühtegi haavatavust rünnakutes ära kasutatud. Märkimisväärsemad vead on seotud Safari brauseri WebKiti tarkvaraga ja ka iPhone’i operatsioonisüsteemi kerneliga. Kaks kerneliga seotud nõrkust CVE-2023-27969 ja CVE-2023-27933 võivad lubada ründajal koodi käivitada (SW).

Kes ja mida peaks tegema?

Kui te kasutate tooteid, mis kasutavad iOSi, iPad OSi või macOSi, kontrollige uuenduste olemasolu ja rakendage need esimesel võimalusel.

WordPressi pistikprogrammi turvanõrkus ohustab miljoneid veebilehti

WordPressi pistikprogrammil Elementor Pro avastati kõrge mõjuga haavatavus, mida aktiivselt kuritarvitatakse. Autentitud ründaja saab turvanõrkust ära kasutada administraatorikonto loomiseks, mille abil on teoreetiliselt võimalik haavatav veebileht täielikult üle võtta. Turvaviga mõjutab veebilehte, kui kasutatakse Elementor Pro nimelist pistikprogrammi koos WooCommerce’i lahendusega (SA, NinTechNet).

Kes ja mida peaks tegema?

Kõik Elementor Pro pistikprogrammid, mis kasutavad versiooni 3.11.6 või vanemat, on haavatavad. Kui te seda pistikprogrammi kasutate, uuendage see esimesel võimalusel kõige uuemale versioonile.

WiFi protokolli viga võimaldab ründajatel võrguliiklust pealt kuulata

IEEE 802.11 WiFi protokolli standardis avastati turvanõrkus. Nimelt sisaldab IEEE 802.11 standard energiasäästumehhanisme, mis võimaldavad WiFi-seadmetel energiat säästa, puhverdades või seades järjekorda puhkeolekus olevate seadmete jaoks mõeldud andmeid. Standard ei anna aga selgeid juhiseid nende järjekorras olevate andmete turvalise haldamise kohta ega sea piiranguid, näiteks seda, kui kaua võivad andmed selles olekus püsida. Turvaviga mõjutab nii Linuxi, FreeBSD, iOSi kui ka Androidi seadmeid ning võimaldab kaaperdada TCP ühendusi või veebiliiklust pealt kuulata. Täpsem nimekiri mõjutatud seadmetest ja ülevaade turvanõrkusest on viidatud lingil (BC).

Microsoft paikas Azure’i mõjutanud turvanõrkuse

Microsoft parandas konfiguratsioonivea, mis mõjutas Azure Active Directory pääsuhaldusteenust. Turvaviga võimaldas mitmetel rakendustel volitamata juurdepääsu. Üks neist rakendustest oli sisuhaldussüsteem, mis toetab Bingi otsingumootorit. Vea abil ei olnud mitte ainult võimalik muuta otsingutulemusi, vaid käivitada ka suure mõjuga XSS-rünnakuid Bingi kasutajate vastu. Selliste rünnakute abil oleks olnud võimalik kompromiteerida kasutajate isikuandmeid, sealhulgas Outlooki e-kirju ja SharePointi dokumente (HN). 


RIA analüüsi- ja ennetusosakond