Olulisemad turvanõrkused 2024. aasta 36. nädalal

Google paikas hulga suure mõjuga turvavigu Chromiumi projektis ja Chrome’is

Google parandas hulga turvavigu nii Chromiumi Projectis kui ka Chrome’i brauseris. Üksteist parandatud turvaviga olid suure mõjuga ja mõnede turvanõrkuste jaoks on olemas ka aktiivselt kasutatavad ründekoodid.

Soovitame esimesel võimalusel uuendada Chromiumil baseeruvad brauserid:

Androidi tarkvarauuendus parandab mitmed turvavead

Androidi nutiseadmetes paigati 35 turvaviga, mille hulgas oli suure mõjuga haavatavus tähisega CVE-2024-32896 (CVSS skoor 7.8), mis võimaldab õiguste vallutust (privilege escalation). Nimetatud turvaviga on juba rünnete läbiviimisel ära kasutatud.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, SA).

Zyxel paikas oma toodetes mitmeid turvavigu

Zyxel parandas hulgaliselt turvaauke oma erinevates võrguseadmetes, nende hulgas ka kriitilise turvavea tähisega CVE-2024-7261. Turvaviga võimaldab autentimata ründajal käivitada erinevaid käsklusi Zyxeli seadmetes (access point) ja ruuterites, saates haavatavatele seadmetele spetsiaalselt loodud küpsise.

Paigati mitmeid vigasid APT, USG Flex, USG Flex 50(W) ja USG20(W)-VPN tulemüürides ning kommutaatorites (switch), mis võimaldavad ründajal teha DoS-i, käsusüste ja käskude käivitamist (CVE-2024-6343, CVE-2024-7203, CVE-2024-42059, CVE-2024-42060, CVE-2024-42057, CVE-2024-42058, CVE-2024-42061).

Seadmetes Zyxel’s 5G NR/4G LTE CPE, DSL/Ethernet CPE, fiber ONT, WiFi pikendi (WiFi extender) parandati puhvri ületäitumise turvanõrkus CVE-2024-5412 (CVSS skoor 7.5/10) “libclinkc” teegis, mis võimaldab autentimata ründajal tekitada seadmes teenusetõkestuse (DoS) seisundi, saates haavatavale seadmele spetsiaalse HTTP-päringu.

Ettevõtte soovitab kõigil kasutajatel tarkvara esimesel võimalusel uuendada (HNS).

VMware paikas suure mõjuga turvavea Fusioni tarkvaras

Virtualiseerimistarkvara pakkuja VMware tuvastas Fusioni hüperviisoris väga tõsise haavatavuse, mis võimaldab tavakasutaja õigustes käivitada koodi Fusioni rakenduse kontekstis. Eduka ründe korral on võimalik kogu süsteem kompromiteerida.

Turvaviga tähisega CVE-2024-38811 on hinnatud kõrge CVSS skooriga 8.8/10. Ei ole avaldatud, kas antud haavatavust on reaalselt ära kasutatud.

Haavatavus mõjutab kõiki VMware Fusioni versioone kuni 13.x ja lahenduseks on tarkvara uuendamine versioonile 13.6 (SW, SA).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

Turvanõrkus (CVE-2024-44000) mõjutab pistikprogrammiLiteSpeed Cacheja

selle kaudu on võimalik autentimata ründajal saada kontrolli kogu veebilehe üle. Juba on leitavad ka antud turvanõrkust ära kasutavad koodinäidised.

Eelmisest LiteSpeed Cache’i kriitilisest turvanõrkusest kirjutasime 34. nädala olukorra blogikirjes.

Turvanõrkus on paigatud tarkvara versioonis 6.5.0.1, kuid juba on ka väljas versioon 6.5.0.2. Soovitame kõigil kasutajatel uuendada pistikprogramm uusimale versioonile (BC).