Microsoft hoiatab Office’i paikamata nullpäeva turvanõrkusest
Turvaviga (CVE-2023-36884) mõjutab mitmeid Microsofti Windowsi ja Office’i tarkvarasid ning sellele ei ole hetkel parandust. Haavatavus võimaldab pahavaraga Office’i dokumentide abil koodi kaugkäivitada. Eduka ründe korral saab häkker ligipääsu tundlikule infole, lülitada välja süsteemi kaitse ja keelata juurdepääs kompromiteeritud süsteemile. Ründe läbiviimiseks tuleb luua spetsiaalne pahavaraga Microsoft Office’i dokument, mille avamisel käivitatakse pahatahtlik kood ohvri seadmes.
Microsofti sõnul on haavatavust juba rünnetes ära kasutatud. Näiteks kasutati sihtmärkidena oganisatsioone, kes osalesid NATO tippkohtumisel Leedus. Ründajad saatsid näiliselt organisatsiooni “Ukrainian World Congress” nimel pahatahtlikke dokumente, mille avamisel laeti ohvri seadmesse erinevat tüüpi pahavara (BC, SW, Microsoft).
Kes ja mida peaks tegema?
Turvaveale ei ole veel parandust, kuid ettevõte soovitab ajutise lahendusena kasutada Defender for Office lahendust ja lubada seal “Block all Office applications from creating child processes” valik. Lisaks soovitame lugeda täiendavaid nõuandeid Microsofti blogist.
Apple paikas nullpäeva turvanõrkuse
Ettevõtte sõnul on turvanõrkust ära kasutatud Apple’i seadmete ründamiseks. Parandus avaldati juba eelmisel esmaspäeval, kuid vigade tõttu tuli see tagasi võtta ja uus versioon luua. Nullpäeva haavatavus tähisega CVE-2023-37450 mõjutab Apple’i WebKiti veebibrauseri mootorit. Viga on parandatud tarkvara versioonides iOS 16.5.1 (c), iPadOS 16.5.1 (c), macOS 13.4.1 (c) ja Safari 16.5.2. Paranduse näol on tegemist Rapid Security Response (RSR) tüüpi uuendusega, mida kasutatakse Apple’i seadmeid mõjutavate turbeprobleemide lahendamiseks ning rünnakutes aktiivselt ära kasutatud turvaaukude kiireks parandamiseks. Tegemist on kümnenda nullpäeva turvanõrkusega, mille ettevõte on paiganud sel aastal (BC, HN, Apple).
Kes ja mida peaks tegema?
Soovitame kõigil Apple’i seadmete kasutajatel teha tarkvarauuendus iOSi, iPadOSi ja macOSi operatsioonisüsteemidele.
Fortinet paikas kriitilise turvavea
Turvanõrkus (CVE-2023-33308) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahatahtlikku koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.8/10.
Turvaviga mõjutab FortiOSi ja FortiProxy järgmisi versioone:
- FortiOS versioonid 7.2.0 kuni 7.2.3
- FortiOS versioonid 7.0.0 kuni 7.0.10
- FortiProxy versioonid 7.2.0 kuni 7.2.2
- FortiProxy versioonid 7.0.0 kuni 7.0.9
Viga on parandatud FortiOS versioonides 7.4.0, 7.2.4 ning 7.0.11 ja FortiProxy versioonides 7.2.3 ja 7.0.10. Kuna Fortineti turvanõrkusi on varasemalt tihti rünnetes ära kasutatud, siis on tarkvara uuendamine eriti oluline (SW, BC, Fortinet).
Kes ja mida peaks tegema?
Kõik Fortineti teenuste FortiOS ja FortiProxy kasutajad võiks üle kontrollida, kas neil on kasutusel turvaveast mõjutatud versioon ja vajadusel tarkvara uuendada.
WordPressi pistikprogramm salvestas paroole lihttekstina
WordPressi AIOS-nimelises pistikprogrammis avastati haavatavus – see salvestas kõik kasutajate sisselogimiskatsed (sh paroolid) andmebaasi lihttekstina. AIOS ehk The All-In-One Security näol on tegemist lahendusega, mis pakub WordPressi lehtedele tulemüüri, sisu kaitset ja sisselogimise vahendeid. Kuna pluginat kasutab enam kui miljon WordPressi veebilehte, siis hakatakse tõenäoliselt turvanõrkust rünnetes ära kasutama. Esimest korda mainiti avastatud viga juba ligi kolm nädalat tagasi, seega võib eeldada et haavatavust on juba kuritarvitatud (BC, AIOS).
Kes ja mida peaks tegema?
Kõik WordPressi veebilehed, kus on kasutusel AIOS-plugin, peaks selle uuendama versioonile 5.2.0, kus on turvaviga parandatud.