Tag Archives: Apple

Olulised turvanõrkused 2023. aasta 20. nädalal

Apple parandas kolm nullpäeva turvanõrkust

Apple avalikustas 18. mail turvaparandused erinevatele tarkvaradele (iOS, macOS, tvOS, watchOS ja Safari), mis paikavad kolm nullpäeva turvanõrkust (CVE-2023-32409, CVE-2023-28204 ja CVE-2023-32373). Haavatavused on seotud WebKit-nimelise komponendiga. Turvanõrkuste abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või pääseda ligi tundlikele andmetele. Apple’i sõnul on vähemalt ühte turvanõrkust üritatud kaaktiivselt ära kasutada, kuid rohkem detaile ei ole ettevõte haavatavuste kohta jaganud (BC, SA, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS/iPadOS 16.5, Safari 16.5, tvOS 16.5, watchOS 9.5 ja macOS Ventura 13.4 versioonides.

Kui sinu Apple’i nutitelefon, tahvelarvuti, arvuti või muu nutiseade on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, tee seda esimesel võimalusel.

KeePassi mõjutava turvavea abil saab varastada paroolihalduri salasõna

KeePassi tarkvara mõjutava turvavea (CVE-2023-32784) abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna. Probleem on seotud tarkvara tekstikastiga, kuhu vastav salasõna sisestatakse. Siiski peab ründajal esmalt olema süsteemile ligipääs, et turvaviga kuritarvitada. Haavatavuse jaoks on avalikult kättesaadav kontseptsiooni tõendus (PoC) ning sellele ei ole hetkel olemas parandust (avalikustatakse suure tõenäosusega juulis). Haavatavus mõjutab KeePass 2.X versioone, KeepassXC pole veast mõjutatud (HNS).

Kes ja mida peaks tegema?

Kuna hetkel turvanõrkusele parandus puudub, soovitame järgida üldisi küberturvalisuse põhimõtteid (vt RIA kodulehelt). Kui turvaparandus eeldatavalt juulis avalikustatakse, uuendage KeePassi tarkvara esimesel võimalusel.

Chrome’i kriitiline turvanõrkus ohustab selle kasutajaid

Google avaldas uue Chrome’i versiooni 113.0.5672.126 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, millega paigati 12 turvaviga. Parandatud turvanõrkuste seas on üks kriitilise ja neli kõrge mõjuga haavatavust. Kriitiline turvanõrkus on tähisega CVE-2023-2721 ja selle kaudu on ründajal teoreetiliselt võimalik käivitada pahatahtlikku koodi või mõjutada süsteemi tavapärast tööd (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Samsungi nutitelefonide turvafunktsioonist on võimalik mööda pääseda

USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) hoiatab USA riiklikke asutusi turvanõrkuse eest, mille kaudu on võimalik Androidi turvafunktsioonist (ASLR ehk Android address space layout randomizationi) mööda pääseda. Turvafunktsiooni ülesandeks on määrata juhuslikult mäluaadressid, kus peamised rakendused ja OS-i komponendid seadme mällu laaditakse. See raskendab ründajatel mäluga seotud haavatavuste kuritarvitamist ja takistab erinevaid mälupõhised rünnakuid ellu viimast (nt puhvri ületäitumine) (BP, CISA).

Turvaviga (CVE-2023-21492) mõjutab Samsungi mobiilseadmeid, mis töötavad operatsioonisüsteemidega Android 11, 12 ja 13, ning selle põhjuseks on tundliku teabe sisestamine logifailidesse. Seda teavet saavad kõrgete õigustega ründajad kasutada ASLR-ist möödapääsemiseks. Kuigi Samsung ei ole öelnud, et seda turvanõrkust oleks ära kasutatud, kuritarvitatakse selliseid turvaauke sageli keeruliste sihitud rünnakute korraldamiseks.

Kes ja mida peaks tegema?

Kui teie Samsungi nutiseade pakub turvauuendusi, rakendage need esimesel võimalusel.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 13. nädalal

Apple paikas WebKiti nullpäeva turvanõrkuse ka vanemates seadmetes

Eelmisel kuul avalikustati ja paigati nullpäeva turvanõrkus (CVE-2023-23529) uuematel iPhone’i nutitelefonidel ja iPadi tahvelarvutitel. Nüüd on see turvapaik saadaval ka vanematele mudelitele. Apple’i kinnitusel on haavatavust kuritarvitatud ning ründajatel on võimalik kompromiteeritud seadmes käivitada pahatahtlikku koodi (BP).

Kes ja mida peaks tegema?

Turvaviga on parandatud iOSi ja iPadOSi versioonides 15.7.4, mida pakutakse järgnevatele mudelitele:

iPhone 6s;
iPhone 7;
iPhone SE (esimene generatsioon);
iPad Air 2;
iPad mini (neljas generatsioon);
iPod touch (seitsmes generatsioon).

Soovitame kõigil, kes mainitud seadmeid kasutavad, uus versioon esimesel võimalusel rakendada.

Apple parandas uute iOSi, iPadOSi ja macOSi versioonidega mitukümmend turvaviga

Apple avalikustas iOS-ist ja iPad OS-ist uue versiooni tähisega 16.4, mis parandab 33 haavatavust. Samuti avalikustati uued macOSi versioonid. MacOS Ventura 13.3 parandab peaaegu 60 haavatavust, macOS Monterey 12.6.4 ja Big Sur 11.7.5 aga enam kui 25 haavatavust. Mõned parandatud vead on üsna tõsised, kuigi teadaolevalt pole ühtegi haavatavust rünnakutes ära kasutatud. Märkimisväärsemad vead on seotud Safari brauseri WebKiti tarkvaraga ja ka iPhone’i operatsioonisüsteemi kerneliga. Kaks kerneliga seotud nõrkust CVE-2023-27969 ja CVE-2023-27933 võivad lubada ründajal koodi käivitada (SW).

Kes ja mida peaks tegema?

Kui te kasutate tooteid, mis kasutavad iOSi, iPad OSi või macOSi, kontrollige uuenduste olemasolu ja rakendage need esimesel võimalusel.

WordPressi pistikprogrammi turvanõrkus ohustab miljoneid veebilehti

WordPressi pistikprogrammil Elementor Pro avastati kõrge mõjuga haavatavus, mida aktiivselt kuritarvitatakse. Autentitud ründaja saab turvanõrkust ära kasutada administraatorikonto loomiseks, mille abil on teoreetiliselt võimalik haavatav veebileht täielikult üle võtta. Turvaviga mõjutab veebilehte, kui kasutatakse Elementor Pro nimelist pistikprogrammi koos WooCommerce’i lahendusega (SA, NinTechNet).

Kes ja mida peaks tegema?

Kõik Elementor Pro pistikprogrammid, mis kasutavad versiooni 3.11.6 või vanemat, on haavatavad. Kui te seda pistikprogrammi kasutate, uuendage see esimesel võimalusel kõige uuemale versioonile.

WiFi protokolli viga võimaldab ründajatel võrguliiklust pealt kuulata

IEEE 802.11 WiFi protokolli standardis avastati turvanõrkus. Nimelt sisaldab IEEE 802.11 standard energiasäästumehhanisme, mis võimaldavad WiFi-seadmetel energiat säästa, puhverdades või seades järjekorda puhkeolekus olevate seadmete jaoks mõeldud andmeid. Standard ei anna aga selgeid juhiseid nende järjekorras olevate andmete turvalise haldamise kohta ega sea piiranguid, näiteks seda, kui kaua võivad andmed selles olekus püsida. Turvaviga mõjutab nii Linuxi, FreeBSD, iOSi kui ka Androidi seadmeid ning võimaldab kaaperdada TCP ühendusi või veebiliiklust pealt kuulata. Täpsem nimekiri mõjutatud seadmetest ja ülevaade turvanõrkusest on viidatud lingil (BC).

Microsoft paikas Azure’i mõjutanud turvanõrkuse

Microsoft parandas konfiguratsioonivea, mis mõjutas Azure Active Directory pääsuhaldusteenust. Turvaviga võimaldas mitmetel rakendustel volitamata juurdepääsu. Üks neist rakendustest oli sisuhaldussüsteem, mis toetab Bingi otsingumootorit. Vea abil ei olnud mitte ainult võimalik muuta otsingutulemusi, vaid käivitada ka suure mõjuga XSS-rünnakuid Bingi kasutajate vastu. Selliste rünnakute abil oleks olnud võimalik kompromiteerida kasutajate isikuandmeid, sealhulgas Outlooki e-kirju ja SharePointi dokumente (HN). 


RIA analüüsi- ja ennetusosakond