Tag Archives: Chrome

Olulised turvanõrkused 2023. aasta 39. nädalal

  • Libwebp teegi turvanõrkus võib mõjutada miljoneid rakendusi

Kui algselt arvati, et turvaviga on seotud ainult Google Chrome’iga, siis nüüdseks on eksperdid arvamust muutnud. Turvanõrkust tuntakse tähisega CVE-2023-4863 ja see on hinnatud kõrgeima CVSS skooriga (10.0/10.0). Haavatavus mõjutab kõiki rakendusi, mis kasutavad WebP piltide töötlemiseks libwebp teeki. Seda teeki kasutavad näiteks mitmed populaarsed tarkvarad nagu Nginx, Python, Joomla, WordPress, Node.js jpt. Ründaja võib haavatavust ära kasutada spetsiaalselt loodud WebP-faili abil, mille kaudu saab käivitada pahaloomulist koodi. Haavatavad on libwebp versioonid 0.5.0 kuni 1.3.1, turvanõrkus on parandatud versioonis 1.3.2. Soovitame rakenduste sõltuvus sellest teegist üle vaadata ja vajadusel rakendada turvauuendus teegile ja/või rakendustele (HNS, SA).

  • Kriitilisele Sharepointi turvaveale avalikustati kontseptsiooni tõendus

Microsoft SharePoint Serveri kriitilisele turvanõrkusele avalikustati tehniline analüüs. See turvaviga, mida tähistatakse kui CVE-2023-29357, võimaldab autentimata ründajatel omandada administraatori õigusi ilma kasutajapoolse sekkumiseta. Microsoft parandas haavatavuse juba juunis. Turvanõrkuse paikamine on oluline, kuna antud haavatavust on potentsiaalselt võimalik kombineerida ühe teise turvaveaga, et käivitada pahaloomulist koodi haavatavas süsteemis. Turvanõrkus on eemaldatud SharePointi versioonis 16.0.10399.20005 või uuemates versioonides (BP, PS).

  • Kriitilised haavatavused Eximi tarkvaras ohustavad üle 250 000 meiliserveri maailmas

Tuhanded serverid, mis kasutavad Eximi tarkvara, on ohus kriitiliste haavatavuste tõttu, mis võivad kaasa tuua pahatahtliku koodi kaugkäivitamise. Kokku mõjutab tarkvara kuus haavatavust ja Exim on väljastanud turvapaigad kolmele turvanõrkusele. Kuna Eximi tarkvara kasutavad paljud serverid, on haavatavuste paikamise üsna oluline. Samuti on selle tarkvara nõrkuseid varem ära kasutanud riikliku toega küberrühmitused. Näiteks 2020. aastal kirjeldas USA riiklik julgeolekuagentur (NSA), kuidas küberrühmitus nimega Sandworm oli kuritarvitanud 2019. aastast pärit Eximi tarkvara haavatavust (CISA). Soovitame serverite administraatoritel rakendada  turvapaigad esimesel võimalusel, kuna ründajad võivad neid turvaauke ära kasutada (AT).

  • Firefoxile ja Thunderbirdile tulid turvauuendused

Mozilla on välja andnud Firefoxi ja Thunderbirdi turvavärskendused, mis kõrvaldavad kokku üheksa haavatavust. Enamik turvanõrkustest on seotud mäluga ja võivad põhjustada rakenduse töös probleeme või võimaldada ründajal käivitada suvalist koodi. Soovitame paigaldada uuendused esimesel võimalusel (Mozilla, SW).

  • Chrome’il paigati selle aasta viies nullpäeva turvanõrkus, mis mõjutab potentsiaalselt ka paljusid teisi tarkvarasid

Google avalikustas erakorralise turvavärskenduse, et parandada viies Chrome’i nullpäeva haavatavus (CVE-2023-5217) sel aastal. See võib põhjustada rakenduse töös probleeme või viia suvalise koodi käivitumiseni. Väidetavalt on seda varem juba kuritarvitatud nuhkvara paigaldamiseks. Turvanõrkus on kõrvaldatud Google Chrome’i versioonis 117.0.5938.132, mis on saadaval Windowsi, macOSi ja Linuxi operatsioonisüsteemidele (AT).

Chrome’is avastatud kriitiline nullpäeva haavatavus on tekitanud muret, kuna see ei mõjuta mitte ainult Chrome’i, vaid ka paljusid teisi rakendusi, sh Firefoxi. Turvanõrkus peitub libvpx teegis ja seega võib potentsiaalne mõjuulatus olla väga lai, kuna teeki kasutab enamik sirvikuid, samuti Skype, Adobe, VLC ja Android.  Siiski on veel ebaselge, kui paljud tarkvarad on otseselt nõrkusest mõjutatud (AT).

  • Cisco haldustarkvara mõjutab viis turvanõrkust

Cisco on väljastanud hoiatuse viie haavatavuse kohta, mis mõjutavad Catalyst SD-WAN Manageri tarkvara. Kõige olulisem viga võimaldab haavatavale serverile saada autentimata kaugjuurdepääsu. SD-WAN Manageri kasutatakse võrgu haldamiseks. Kõige tõsisem haavatavus on CVE-2023-20252, mille CVSS-i skoor on 9,8. Ründajad saavad seda viga ära kasutada, saates SAML-i API-dele spetsiaalselt koostatud päringuid. Turvanõrkust saab ära kasutada volitamata juurdepääsu saamiseks andmetele, andmete muutmiseks või nende kustutamiseks (BP, Cisco).

Haavatavused mõjutavad Cisco Catalyst SD-WAN Manageri erinevaid versioone. Ettevõte soovitab minna üle paigatud versioonidele esimesel võimalusel, kuna alternatiivseid kaitsemeetmeid hetkel ei ole. IOS XE tarkvara, SD-WAN cEdge ja SD-WAN vEdge ruuterid ei ole turvavigade suhtes haavatavad (BP, Cisco).

Olulised turvanõrkused 2023. aasta 37. nädalal

Lühikokkuvõte eelmisest nädalast

  • Lõppenud nädalal paikasid mitmed ettevõtted ridamisi nullpäeva turvanõrkusi.
  • Microsoft parandas mitukümmend turvanõrkust, samuti tulid turvauuendused Firefoxi ja Chrome’i veebibrauseritele.

      Sellest kõigest kirjutame lähemalt järgnevas ülevaates.

  • Microsoft paikas 59 turvaviga

Microsoft avalikustas enda toodetele septembrikuu turvauuendused, mis parandavad kokku 59 turvanõrkust (sh kaks nullpäeva turvanõrkust). Ettevõtte hindab viit haavatavust 59-st kriitiliseks, nende viie seas on neli koodi kaugkäivitamist võimaldavat turvanõrkust ja üks õiguste suurendamist võimaldav turvanõrkus (seotud Azure’i Kubernetese teenusega). Nullpäeva turvanõrkuseid (tähistusetega vastavalt CVE-2023-36802 ja  CVE-2023-36761) on  ettevõtte hinnangul juba küberrünnakutes ära kasutatud. Nende abil on ründajal võimalik saada kõrgendatud õigused või varastada NTLM räsisid, mis võimaldavad ründajal potentsiaalselt mõjutatud kasutajakontod üle võtta. Kui kasutate turvauuenduse/uuendused saanud tarkvara (nimekiri siit), uuendage see esimesel võimalusel (BC).

  • Mozilla ja Google parandasid nullpäeva turvanõrkuse

Google andis plaaniväliselt välja turvavärskenduse, et parandada Chrome’i nullpäeva turvanõrkus. Kriitilise nullpäeva haavatavuse (CVE-2023-4863) põhjustab ühe kooditeegi puhvri üle täitumise (buffer overflow) nõrkus, mille mõju võib ulatuda tõrgetest veebibrauseri töös kuni võimaluseni käivitada pahaloomulist koodi ohvri süsteemis (BC, Google).

Chrome’i kasutajatel soovitatakse võimalikult kiiresti uuendada oma veebibrauser versioonile 116.0.5845.187 (Mac ja Linux) ja 116.0.5845.187/.188 (Windows). Värskenduse leiate, kui valite Chrome’i menüü > Abi > Teave Google Chrome’i kohta. Chrome kontrollib ka uute värskenduste olemasolu ja installib need pärast taaskäivitamist automaatselt, ilma et oleks vaja kasutaja sekkumist (BC, Google).

Sarnaselt Google’ile parandas antud turvanõrkuse ka Mozilla. Nimelt avalikustati turvauuendus nii Firefoxi veebibrauserile kui ka Thunderbirdi meilirakendusele. Turvanõrkus on parandatud Firefoxi versioonides Firefox 117.0.1, Firefox ESR 115.2.1 ja Firefox ESR 102.15.1 ning Thunderbirdi versioonides 102.15.1 ja 115.2.2 (BC, Mozilla).

  • Avalikustati kriitiline Kubernetese turvanõrkus

Hiljuti avastati Kubernetese tarkvaras tõsised haavatavused, mida tähistatakse kui CVE-2023-3676, CVE-2023-3893 ja CVE-2023-3955. Kubernetes on haldustarkvara, mida kasutatakse kasutuses olevate rakenduste organiseerimiseks, parandamiseks, uuendamiseks jne. CVE-2023-3676 pakub ründajale võimaluse potentsiaalelt kompromiteerida kõik haavatava Kubernetesega seotud Windowsi süsteemid. Seetõttu on väga oluline, et mõjutatud isikud turvauuenduse kiiresti rakendaksid. Haavatavus mõjutab Kubernetese vaikeinstallatsioone. Täpsemalt saab haavatavuse ja vastumeetmete kohta lugeda siit (SA, Akamai).

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähisTootjaMõjutatud toodeMõju
CVE-2018-13379FortinetFortiOS ja FortiProxySSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell)MicrosoftExchangeKoodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell)MicrosoftExchangeKaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell)MicrosoftExchangeÕiguste suurendamine
CVE-2021-40539ZohoADSelfService PlusKoodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084AtlassianConfluenceKoodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell)ApacheLog4j2Koodi kaugkäivitamise võimalus
CVE-2022-22954VMwareWorkspace ONEKoodi kaugkäivitamise võimalus
CVE-2022-22960VMwareWorkspace ONEÕiguste suurendmine
CVE-2022-1388F5 NetworksBIG-IPAutentimisest möödapääsemine
CVE-2022-30190MicrosoftMitmed erinevad tootedKoodi kaugkäivitamise võimalus
CVE-2022-26134AtlassianConfluenceKoodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.