Microsoft paikas uuenduste teisipäeva raames 68 turvaviga
Microsoft avalikustas, et parandas enda toodetes 68 turvaviga, millest kuut on aktiivselt ära kasutatud (BP). Uuenduste teisipäev on igakuine päev, mil ettevõte koondab ja publitseerib informatsiooni uutest turvanõrkustest, mis on firma toodetes paigatud.
Microsoftilt tulid parandused muuhulgas ka kahele turvanõrkusele, mida teatakse koondnimetusega ProxyNotShell. Need kaks haavatavust võimaldavad suurendada õiguseid haavatavas süsteemis ja seal potentsiaalselt pahaloomulist koodi käivitada. Microsoft pakkus algselt mõjutatud süsteemidele (Microsoft Exchange Server 2013, 2016 ja 2019) välja ajutised kaitsemeetmed, kuid nüüd on olemas ka turvauuendused. RIA kirjutas pikemalt nendest haavatavustes septembri lõpus enda blogis.
Samuti paikas ettevõte turvanõrkuse CVE-2022-41091, mis lubas pahaloomulisel osapoolel ühest Microsofti kaitsemeetmest (Mark of the Web ehk MOTW) mööda pääseda. MOTW on kaitsemeede, mis hoiatab kasutajaid kahtlaste failide avamise korral. Meetme rakendudes kuvab Windows kasutajale hoiatusteate, milles palutakse temalt faili avamise jaoks kinnitust. Nõrkuse tõttu aga ei rakendunud teatud failide puhul (nt .LNK failid) see kaitsemeede. Ründajad saavad seda haavatavust ära kasutada, et käivitada lihtsamalt pahaloomulisi programme sihtmärgi süsteemis(des).
Kes ja mida peaks tegema?
RIA soovitab tutvuda kõikide paigatud nõrkustega ja uurida, milliseid süsteeme need mõjutavad. Vajadusel tuleb rakendada vastavad turvauuendused, et vältida nõrkuste ärakasutamist. Täpsemalt saate ülevaate parandatud nõrkustest siit.
Apple paikas kaks olulise mõjuga haavatavust enda toodetes
USA tehnoloogiahiid avalikustas uued iOSi (16.1.1), macOSi (13.0.1) ja iPadOSi (16.1.1) tarkvaraversioonid, milles on parandatud kaks olulist turvaviga (CVE-2022-40303 ja CVE-2022-40304). Mõlema haavatavuse abil on ründajal võimalik rakenduste tööd häirida või käivitada pahaloomulist koodi. Apple ei ole teadlik, et neid haavatavusi oleks jõutud ära kasutada (SW).
Parandatud turvanõrkuste nimekiri macOS 13.0.1 versioonis.
Parandatud turvanõrkuste nimekiri iOS 16.1.1 ja iPadOS 16.1.1 versioonides.
Kes ja mida peaks tegema?
Kui teie Apple tooted pakuvad teile tarkvara uuendamise võimalust, rakendage uuendus esimesel võimalusel.
Juhendi, kuidas macOSi uuendada, leiate siit. Juhendi, kuidas iOSi/iPadOSi uuendada, leiate siit.
VMware parandas kolm kriitilist turvaviga
VMware paikas kolm kriitilist turvanõrkust VMware Workspace ONE Assistis, mis võimaldavad autentimisest mööda minna ja omandada süsteemis administraatori tasemel õigused. Ründajal peab olema võrguligipääs haavatavale Workspace ONE Assist serverile. Turvanõrkuseid tähistatakse nimetustega CVE-2022-31685, CVE-2022-31686 ja CVE-2022-31687 ja kõiki on hinnatud skooriga 9.8/10.
Kes ja mida tegema peaks?
Turvanõrkused parandati VMware Workspace ONE Assisti versioonis 22.10. Kui te te seda toodet kasutate, tutvuge VMWare’i juhistega ja rakendage versioon 22.10 esimesel võimalusel.
Lenovo parandas sülearvutitel kaks kõrge tasemega haavatavust
Lenovo parandas erinevatel sülearvutitel kaks kõrge tasemega haavatavust (BP). Nõrkuste kaudu on ründajatel võimalik deaktiveerida UEFI Secure Boot. Selle tagajärjel saab ründaja mööda minna kõigist seadme kaitsemeetmetest, et paigaldada pahavara, mis ei kao operatsioonisüsteemide korduvinstalleerimisel.
CVE-2022-3430 – Mõne Lenovo sülearvuti jaoks mõeldud WMI häälestusdraiver võib kõrgendatud õigustega ründajal lubada muuta Secure Booti sätteid.
CVE-2022-3431 – Mõne sülearvutimudeli tootmise jooksul kasutati draiverit, millel oli nõrkus ning see draiver unustati deaktiveerida. Selliste mudelite puhul on võimalik kõrgendatud õigustega ründajal muuta Secure Booti sätteid.
Kes ja mida peaks tegema?
Lenovo toodete kasutajatel soovitatakse kontrollida, kas nende kasutatavad tooted on haavatavad. Selleks tuleb külastada tootja veebilehte, kus on haavatavad mudelid välja toodud ning rakendada vajadusel turvauuendused.
Google Pixel 6 ja 5 nutitelefonide lukustuskuvast on võimalik mööda pääseda
Üks küberturvalisuse ekspert avastas, et tal oli võimalik enda Pixel 6 nutitelefoni lukustuskuvast mööda pääseda (BP). Nimelt tekkis temal selline tavatu situatsioon siis, kui tal oli vaja seade uuesti PUK-koodiga avada. Koodi kasutamise järgselt pidi ekspert uue PIN-koodi looma ja sisestama. Kui ta oli seda teinud, ei küsinud seade enam lukustuskuva parooli, vaid kasutajal tuli ainult lõpetada biomeetrilise autentimise protseduur. Kuna Androidi seadmed küsivad seadme taaskäivitamisel alati lukustuskuva parooli või mustrit, tekitas eelnevalt kirjeldatud situatsioon eksperdis kahtlust. Uurides nõrkuse asjaolusid täpsemalt, selgus, et pahatahtlikul osapoolel õnnestuks ka biomeetrilist autentimist vältida ning saada ligipääs seadme koduekraanile.
See tähendab, et kõigil kellel on seadmele füüsiline juurdepääs, on võimalik seade turvavea abiga avada. Selleks tuleb ründajal lihtsalt kasutada personaalset SIM-kaarti, keelata biomeetriline autentimine (proovides sõrmejäljega end ebaõnnestunult autentida liiga palju kordi), sisestada kolm korda vale PIN-kood ja esitada PUK-kood.
Kes ja mida peaks tegema?
Turvaviga (CVE-2022-20465) mõjutab kõiki Google Pixel 6 ja 5 seadmeid, mis kasutavad Androidi versioone 10,11,12 ja 13 ja millele ei ole rakendatud 7. novembril avaldatud uuendus. Kui te selliseid telefone kasutate, uuendage seade esimesel võimalusel.
SAP paikas mitu kriitilist turvanõrkust enda toodetes
SAP paikas mitu turvanõrkust (CVE-2022-41203, CVE-2021-20223, CVE-2022-35737 ja CVE-2022-41204 ), mis on hinnatud kriitiliseks (vastavalt skooridega 9.9/10.0; 9.8/10.0 ja 9.6/10.0). Turvavead mõjutavad SAPi tarkvarasid BusinessObjects and SAPUI5. Kui neid edukalt ära kasutada, võivad need avalda mõju nii süsteemide käideldavusele, terviklusele kui konfidentsiaalsusele (SW).
Kes ja mida peaks tegema?
Mõjutatud tarkvarade versioonid on välja toodud tootjapoolses ülevaates siin. Vajadusel tuleb rakendada turvapaigad.