Tag Archives: Android

Olulisemad turvanõrkused 2024. aasta 36. nädalal

Google paikas hulga suure mõjuga turvavigu Chromiumi projektis ja Chrome’is

Google parandas hulga turvavigu nii Chromiumi Projectis kui ka Chrome’i brauseris. Üksteist parandatud turvaviga olid suure mõjuga ja mõnede turvanõrkuste jaoks on olemas ka aktiivselt kasutatavad ründekoodid.

Soovitame esimesel võimalusel uuendada Chromiumil baseeruvad brauserid:

Androidi tarkvarauuendus parandab mitmed turvavead

Androidi nutiseadmetes paigati 35 turvaviga, mille hulgas oli suure mõjuga haavatavus tähisega CVE-2024-32896 (CVSS skoor 7.8), mis võimaldab õiguste vallutust (privilege escalation). Nimetatud turvaviga on juba rünnete läbiviimisel ära kasutatud.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, SA).

Zyxel paikas oma toodetes mitmeid turvavigu

Zyxel parandas hulgaliselt turvaauke oma erinevates võrguseadmetes, nende hulgas ka kriitilise turvavea tähisega CVE-2024-7261. Turvaviga võimaldab autentimata ründajal käivitada erinevaid käsklusi Zyxeli seadmetes (access point) ja ruuterites, saates haavatavatele seadmetele spetsiaalselt loodud küpsise.

Paigati mitmeid vigasid APT, USG Flex, USG Flex 50(W) ja USG20(W)-VPN tulemüürides ning kommutaatorites (switch), mis võimaldavad ründajal teha DoS-i, käsusüste ja käskude käivitamist (CVE-2024-6343, CVE-2024-7203, CVE-2024-42059, CVE-2024-42060, CVE-2024-42057, CVE-2024-42058, CVE-2024-42061).

Seadmetes Zyxel’s 5G NR/4G LTE CPE, DSL/Ethernet CPE, fiber ONT, WiFi pikendi (WiFi extender) parandati puhvri ületäitumise turvanõrkus CVE-2024-5412 (CVSS skoor 7.5/10) “libclinkc” teegis, mis võimaldab autentimata ründajal tekitada seadmes teenusetõkestuse (DoS) seisundi, saates haavatavale seadmele spetsiaalse HTTP-päringu.

Ettevõtte soovitab kõigil kasutajatel tarkvara esimesel võimalusel uuendada (HNS).

VMware paikas suure mõjuga turvavea Fusioni tarkvaras

Virtualiseerimistarkvara pakkuja VMware tuvastas Fusioni hüperviisoris väga tõsise haavatavuse, mis võimaldab tavakasutaja õigustes käivitada koodi Fusioni rakenduse kontekstis. Eduka ründe korral on võimalik kogu süsteem kompromiteerida.

Turvaviga tähisega CVE-2024-38811 on hinnatud kõrge CVSS skooriga 8.8/10. Ei ole avaldatud, kas antud haavatavust on reaalselt ära kasutatud.

Haavatavus mõjutab kõiki VMware Fusioni versioone kuni 13.x ja lahenduseks on tarkvara uuendamine versioonile 13.6 (SW, SA).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

Turvanõrkus (CVE-2024-44000) mõjutab pistikprogrammiLiteSpeed Cacheja

selle kaudu on võimalik autentimata ründajal saada kontrolli kogu veebilehe üle. Juba on leitavad ka antud turvanõrkust ära kasutavad koodinäidised.

Eelmisest LiteSpeed Cache’i kriitilisest turvanõrkusest kirjutasime 34. nädala olukorra blogikirjes.

Turvanõrkus on paigatud tarkvara versioonis 6.5.0.1, kuid juba on ka väljas versioon 6.5.0.2. Soovitame kõigil kasutajatel uuendada pistikprogramm uusimale versioonile (BC).

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2024. aasta 31. nädalal

Uus Androidi pahavara teeb ohvri pangakontod tühjaks ning kustutab seadmes olevad andmed

BingoMod’i nimeline Androidi pahavara varastab ohvrite pangakontodelt raha ning seejärel kustutab kõik andmed kompromiteeritud seadmelt. See pahavara levib peamiselt SMS-sõnumite kaudu, teeseldes legitiimseid turvatööriistu (nagu näiteks APP Protection, Antivirus Cleanup, Chrome Update jne). Google’i sõnul on võimalik pahavarast hoiduda, kui rakendada seadmes Play Protect (BC).

CISA hoiatab VMware ESXi turvanõrkuse eest, mida kasutatakse ära lunavararünnakutes

Shadowserveri teadurite sõnul on enam kui 20 000 internetile avatud seadet turvanõrkuse (CVE-2024-37085) tõttu ohus. Microsoft hoiatas, et mitmed lunavararühmitused on võtnud nimetatud haavatavuse sihikule ja proovivad selle kaudu ründeid läbi viia.

Haavatavus tähisega CVE-2024-37085 mõjutab VMware ESXi tarkvara ja võimaldab ründajatel lisada uusi administraatori õigusega kasutajaid ESX Admins gruppi. Viga on paigatud tarkvarades ESXi 8.0 ja VMware Cloud Foundation 5.x. Vanematele versioonidele ESXi 7.0 ja VMware Cloud Foundation 4.x ei ole plaanis turvauuendusi avaldada. Toetamata versioonide kasutajatel soovitatakse turvavärskenduste ja toe saamiseks minna üle uuematele versioonidele.

CISA nõuab, et USA agentuurid paikaksid oma servereid VMware ESXi turvanõrkuse vastu. (BC, SA, Microsoft).

Massiivne SMS-stealer’ite kampaania sihib Androidi seadmeid

Androidi seadmetele suunatud pahaloomuline kampaania kasutab tuhandeid Telegrami roboteid, et levitada SMS-sõnumeid varastavat pahavara. Mobiiliturbe-ettevõtte Zimperiumi uurijad on 2022. aasta veebruarist saati avastanud vähemalt 107 000 erinevat pahavara, mis on eelmainitud kampaaniaga seotud. Pahvara kampaania on jõudnud 113 riiki (BC).

Apple paikas oma operatsioonisüsteemides mitmeid haavatavusi

Apple avaldas uue iOSi ja iPadOSi versiooni 17.6, milles on parandatud mitmeid haavatavusi. Turvavead võimaldavad autentimisest mööda minna, teavet avalikustada, teenuseid tõkestada ning põhjustada mälulekkeid ja rakenduste töö ootamatut peatumist.

Haavatavused mõjutavad järgmisi Apple’i rakendusi: AppleMobileFileIntegrity, Kernel, WebKit, CoreGraphics, CoreMedia, dyld, Family Sharing, ImageIO, libxpc, Phone. Phone Storage, Sandbox, Shortcuts, Siri, and VoiceOver.

Vead mõjutavad erinevaid Apple’i operatsioonisüsteeme ja rakendusi nagu iOS, macOS, tvOS, visionOS, watchOS ja Safari.

Ettevõte andis välja ka iOS 16.7.9 ja iPadOS 16.7.9 värskendused, et parandada vanemate iPhone’i ja iPadi seadmete turvaauke.

Ettevõte ei avaldanud, et kas turvanõrkusi on juba kuritarvitatud. Kõigil Apple’i seadmete kasutajatel on soovitatav uuendada tarkvara (SA, Apple).

CISA hoiatas Avtechi kaamerate turvavea eest

CISA hoiatas turvanõrkuse CVE-2024-7029 eest, mis mõjutab Avtechi kaameraid ja mida on õnnestunud rünnete läbiviimisel kuritarvitada. Eduka ründe korral saab kurjategija käivitada erinevaid käsklusi. Täpsemalt on mõjutatud Avtechi AVM1203 IP-kaamerad (SA).