Tag Archives: Chrome

Olulised turvanõrkused 2022. aasta 47. nädalal

Kõrge mõjuga macOSi turvanõrkusele avalikustati PoC

Küberekspert avalikustas turvanõrkuse kontseptsiooni tõenduse (PoC) macOSi mõjutavale haavatavusele CVE-2022-26696, mis paigati operatsioonisüsteemi versioonis 12.4 käesoleva aasta mais (SW).

Haavatavust on võimalik kuritarvitada, et välja pääseda macOSi liivakastist (sandbox) ja käivitada siis suvalist koodi kasutajaõigustes. Turvaviga peitub XPC-teadete käsitlemisel LaunchServices komponendis ja seda on hinnatud kriitilisuse skooriga 7.8/10.0. Siiski tuleb ründajal esmalt süsteemis omandada madala taseme õigused, et tal oleks võimalik nõrkust ära kasutada.

Turvanõrkuse kontseptsiooni tõenduse avalikustamine lihtsustab erinevate pahatahtlikke programmide loomist, mis suudaksid konkreetset haavatavust kuritarvitada.

Kes ja mida peaks tegema?

Kui te kasutate macOSi operatsioonisüsteemiga sülearvutit, veenduge, et teil oleks rakendatud vähemalt operatsioonisüsteemi versioon 12.4. Sellisel juhul see haavatavus teile ohtu ei kujuta. Juhised, kuidas versiooni kindlaks teha, leiate siit.

Google parandas Chrome’i veebilehitsejal nullpäeva turvanõrkuse

Google avalikustas eelmisel neljapäeval Chrome’i veebilehitseja uue versiooni, mis parandab ühe nullpäeva turvanõrkuse. Haavatavus võimaldab ründajal potentsiaalselt käivitada ohvri seadmes pahaloomulist koodi. Google ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (BP, CR).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat või Chromiumil põhinevaid veebilehitsejaid nagu Edge, Brave, Opera või Vivaldi, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole aktiveeritud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised selleks leiate siit.

Microsoft avaldas Kerberose toimimisega seotud paranduse

Microsoft parandas uuenduste teisipäeva raames haavatavuse (CVE-2022-37966), mille abil oli ründajal võimalik omandada kõrgendatud õigused (SW, Microsoft). Pärast uuenduste rakendamist hakkasid ettevõtte kliendid aga kurtma probleemide üle Kerberose autentimisteenusega. Microsoft avalikustas tõstatatud probleemide lahendamiseks paranduse, mille soovitab rakendada kõigil, kellel oli sellega mure. Täpsemad juhised uuenduse rakendamiseks leiate siit.

Miljonid Androidi seadmed on potentsiaalselt haavatavad viie turvanõrkuse vastu

Haavatavused on seotud ARMi Mali GPU draiveriga ja mõjutavad mitmeid erinevaid nutitelefonide tootjaid (Google). Üks turvavigadest põhjustab kerneli tavapärases töös häireid, ühe abil on võimalik avaldada füüsilisi mäluaadresse ja ülejäänud kolm pakuvad ründajale võimaluse kasutada dünaamilist mälu pahaloomulisteks tegevusteks (use-after-free turvanõrkus). Täpsemalt on turvanõrkuste olemusest kirjutatud siin. Kuigi ARM paikas turvanõrkused juba paar kuud tagasi, ei olnud Google’i blogipostituse avaldamise hetkel erinevad nutitelefone tootvad ettevõtted neid paiku jõudnud rakendada. Seetõttu olid ka nende seadmete kasutajad turvanõrkuste vastu haavatavad. Google rõhutab, et üleüldiselt on tootjatel samamoodi soovituslik rakendada erinevad turvauuendused esimesel võimalusel nagu soovitatakse seda alati ka seadmete kasutajatele.

RIA analüüsi- ja ennetusosakond

Pildil on kolme tarkvaraettevõte logod: Adobe Magento, Microsoft ja JavaScript

Olulised turvanõrkused 2022. aasta 41. nädalal

Eelmise nädala ülevaates kirjutasime, et Fortineti teenuseid FortiGate, FortiProxy ja FortiSwitchManager mõjutab CVE-2022-40684 kriitiline haavatavus.

Viimase abil saab ründaja autentimisest kõrvale hiilida ja seeläbi teostada erinevaid tegevusi teenuste administreerimisliideste kaudu. Kuna turvanõrkusest on avaldatud avalik kontseptsioonitõendus (POC) ja tootja kinnitas haavatavuse ärakasutamist, siis peavad toodete kasutajad uuendama mõjutatud esimesel võimalusel, et vältida võimalikku küberintsidenti!

Eelmise nädala ülevaade kirjeldas täpsemalt turvanõrkuse olemust koos mõjutatud toodete versioonidega, samuti on tutvustatud seda tootja enda kodulehel.

Magento tarkvaral tuvastati kriitiline turvanõrkus

Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida.

Haavatavus mõjutab neid Adobe toodete versioone:

ToodeVersioon
Adobe Commerce2.4.4-p1 ja varasemad; 2.4.5 ja varasemad
Magento2.4.4-p1 ja varasemad; 2.4.5 ja varasemad

Haavatavus parandati järgnevates Adobe toodete versioonides:

ToodeVersioon
Adobe Commerce2.4.5-p1 ja 2.4.4-p2
Magento2.4.5-p1 ja 2.4.4-p2

Kes ja mida peaks tegema?

Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.

Kriitiline turvaviga vm2 JavaScripti teegis

Haavatavus (CVE-2022-36067) võimaldab koodi kaugkäivitamist ja on hinnatud kõige kõrgema kriitilisuse tasemega (10.0/10.0). Vm2 on JavaScripti liivakasti (sandbox) teek, mida laaditakse iga kuu alla üle 16 miljoni korra. Turvaviga võimaldab suletud virtuaalsest keskkonnast (sandbox) välja pääseda ja käivitada ohvri seadmes pahaloomulisi käske. Turvanõrkus asub vm2 teegi Node.js funktsioonis, mis vastutab veaolukordade korrektse töötlemise eest. Viga paigati versioonis 3.9.11 (BP, SW, Oxeye).

Kes ja mida peaks tegema?

Tarkvaraarendajatel, kes kasutavad vm2 teeki enda arendusprojektides, tuleb kindlasti see uuendada kõige värskemale versioonile ja asendada vanade vm2 teekide kasutus esimesel võimalusel.

Erinevate virtualiseerimistarkvarade puhul, mis kasutavad vm2 teeki, tuleb jälgida, kas nendele tarkvaradele on uuendusi ja neid rakendada. Uuenduste avalikustamine võib võtta aega ja samuti on oht, et arendajad või toodete omanikud ei pruugi kohe taibata, et nende tarkvarad just vm2 teegist sõltuvad (sarnaselt Log4j turvanõrkusele eelmisel aastal). Seetõttu tuleb tooted ja/või teenused üle vaadata ja hinnata, kas antud kriitiline turvanõrkus teid puudutab.

Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga

Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):

  • 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
  • kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
  • 20 võimaldavad koodi kaugkäivitamist.
  • 11 võivad põhjustada andmeleket.
  • kaheksa on seotud teenuste katkestusega (denial of service).
  • nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).

Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.

CVE-2022-41033  turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.

Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.

Kes ja mida peaks tegema?

Microsofti toodete kasutajad peaksid uuenduste olemasolul need rakendama ja tutvuma ka uuenduste teisipäeva raames paigatud turvanõrkuste nimekirjaga siin.

Google avaldas turvauuendused Chrome’i veebilehitsejale

Google avaldas Chrome’i uue versiooni 106.0.5249.119 Windowsi, Linuxi ja Maci seadmetele, milles on parandatud kuus kõrge mõjuga turvanõrkust (SW, CR). Turvanõrkused on seotud Chrome’i erinevate tehniliste lahendustega. Soovitus on veebilehitseja kasutamise korral versioon uuendada. Juhised leiate siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 39. nädalal

  • Microsoft Exchange’i uued nullpäeva turvanõrkused

Microsoft avaldas, et nende Exchange Server 2013, 2016 ja 2019 puhul avastati kaks uut (CVE-2022-41040 ja CVE-2022-41082) nullpäeva turvanõrkust. Eduka ärakasutamise korral on võimalik ründajal käivitada serveris pahaloomulist koodi, liikuda lateraalselt edasi või varastada andmeid. Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega ja on pakkunud välja alternatiivsed kaitsemeetmed, kuidas turvanõrkuste vastu end hetkel kaitsta (MSRC, BP, RIA).  

Riigi Infosüsteemi Amet on pikemalt nendest turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Kriitilised haavatavused WhatsAppi sõnumirakenduses

Sõnumirakenduses WhatsApp parandati kaks turvanõrkust (CVE-2022-36934 ja CVE-2022-27492), mis võimaldavad ründajal koodi kaugkäivitada. Haavatavused mõjutavad erinevaid WhatsAppi tarkvara versioone (pikemalt kirjeldatud all). Soovitame uuendada WhatsAppi rakendus esimesel võimalusel (SA, MB, WhatsApp).

Nimelt parandas WhatsApp septembris kaks turvanõrkust, mis lubavad õnnestunud ärakasutamise korral koodi kaugkäivitamist haavatavas seadmes. Turvanõrkust CVE-2022-36934 on hinnatud skooriga 9.8/10.0 ja teist turvanõrkust CVE-2022-27492 skooriga 7.8/10.0.

CVE-2022-36934 – Turvaviga peitub spetsiifilisemalt ühes WhatsAppi rakenduse komponendis, mis on seotud videokõnedega. Videkõne ajal on ründajal võimalik selle vea abil tekitada puhvri ületäitumine (buffer overflow) ja saada kontroll WhatsAppi rakenduse üle. Puhvri ületäitumine on olukord, kus ründajal õnnestub tarkvarale eraldatud mälupiirkonda (memory region) ignoreerida ja selle abil käivitada pahaloomuline kood.

CVE-2022-27492 – Ründaja saab seda turvaviga ära kasutada, kui ta saadab sihtmärgile spetsiaalse videofaili, mille ohver peab siis omakorda käivitama. Sellisel juhul on võimalik ründajal teostada koodi kaugkäivitamist haavatavas seadmes. Turvanõrkus tekitab WhatsAppi rakenduses spetsiaalse olukorra (integer underflow), mille puhul on siis võimalik ründajal pahaloomulist koodi kaugkäivitada.

Kes ja mida peaks tegema?

CVE-2022-36934 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.12.
  • WhatsAppi Business rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui 2.22.16.12.

CVE-2022-27492 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.2.
  • WhatsAppi rakendus iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.15.9.

Soovitame haavatava versiooni kasutamise korral uuendada rakendus esimesel võimalusel. Juhised, kuidas rakendust uuendada, leiate tootja kodulehelt.

  • Twitter parandas turvavea, mis jättis kasutajad sisselogituks pärast parooli lähtestamist

Twitteri sõnul parandasid nad vea, mis jättis kasutaja sisselogituks pärast parooli lähtestamist. Pärast turvavea avastamist logiti kõik mõjutatud kasutajad automaatselt välja ja nüüdseks on viga parandatud (MB).

Mitmesse seadmesse sisselogituna jäämine pärast konto parooli vahetamist on tõsine turvarisk. Kui keegi on teie konto juba kompromiteerinud, kuid pärast parooli vahetamist teda välja ei logita, on tal võimalik endiselt kontoga seotud privaatsõnumeid lugeda, vahetada omakorda parool või teha midagi muud pahaloomulist.

Kes ja mida peaks tegema?

Kuna turvaviga on parandatud ja Twitter logis kõik mõjutatud kasutajakontod automaatselt välja, ei tule kasutajatel otseselt täiendavaid kaitsemeetmeid rakendada. Alati soovitame siiski kasutajakontode puhul kasutada kaheastmelist autentimist, kui seda ei ole juba rakendatud.

  • Chrome’i uues versioonis paigati viis kõrge tasemega turvanõrkust

Google avaldas Chrome’i uue versiooni nimetusega Chrome 106, milles on paigatud kokku 22 erinevat turvanõrkust, sealhulgas turvanõrkused, mida oleks saanud teoreetiliselt ära kasutada pahaloomulise koodi käivitamiseks või teenusetõkestusrünnete korraldamiseks. Mõned nendest olid use-after-free nõrkused, mis viitab sellele, et need spetsiifilised haavatavused olid seotud dünaamilise mälu ebakorrektse kasutamisega rakenduse töötamise ajal (SW, CR).

Kes ja mida peaks tegema?

Chrome’i kõige uuem versioon macOSile ja Linuxile kannab nimetust 106.0.5249.61 ning Windowsi puhul 106.0.5249.61/62. Soovitame Chrome võimalusel uuendada, et ennetada turvanõrkuste ärakasutamist. Juhised, kuidas Chrome’i uuendada, leiate siit.

  • Cisco paikas kaksteist kõrge tasemega turvanõrkust

Eelmisel nädalal avalikustas Cisco, et paikas enda IOS ja IOS XE tarkvarades 12 kõrge tasemega turvanõrkust. Kõige kriitilisema skooriga (8.6/10.0) hinnati kuut haavatavust (CVE-2022-20848, CVE-2022-20847, CVE-2022-20870, CVE-2022-20919 , CVE-2022-20856, CVE-2022-20837), mis kõik võivad viia teenusekatkestuseni. Ründaja saab kasutada neid nõrkuseid, saates pahaloomulisi CIP-, DNS- või CAPWAP-pakette, pahaloomulisi UDP datagramme või DHCP sõnumeid haavatavate seadmete suunas (SW).

Kaks madalama skooriga turvanõrkust CVE-2022-20920 (7.7/10.0) ja CVE-2022-20915 (7.4/10.0) võimaldavad samuti põhjustada teenusekatkestusi haavatavate seadmete puhul, kui saadetakse spetsiifilisi SSH-päringuid või IPv6-pakette.

Ülejäänud kõrge tasemega turvanõrkuste abil on võimalik teoreetiliselt enda õiguseid suurendada (CVE-2022-20775, CVE-2022-20818) või käivitada teatud tingimustel pahaloomulist koodi (CVE-2022-20944).

Kes ja mida peaks tegema?

Soovitame tutvuda tootja väljastatud turvanõrkuste nimekirjaga siin ja haavatavuste korral rakendada uuendused.

  • Mozilla paikas mitmed turvanõrkused Thunderbirdi meilirakenduses

Mozilla paikas mitmed turvanõrkused Thunderbirdi meilikliendi uues versioonis 102.3.1. Kolm neist on hinnatud kõrge mõjuga haavatavusteks. Tarkvara kasutamise korral soovitame see uuendada, et ennetada turvanõrkuste ärakasutamist (Mozilla).

Kõik parandatud turvanõrkused on seotud Matrixi suhtlusprotokolliga. Järgnevalt kirjeldame veidi pikemalt turvanõrkuseid, mille Mozilla hindas kõrge tasemega.

CVE-2022-39249 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on pahaloomulisel serveri administraatoril võimalik võltsida krüpteeritud sõnumeid ja jätta mulje, et need saadeti kellegilt teiselt kasutajalt samast serverist.

CVE-2022-39250 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on võimalik pahaloomulisel serveri administraatoril segada seadmeülest verifitseerimisprotseduuri selleks, et autentida end enda seadmega.

CVE-2022-39251 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on ründajal võimalik näiliselt kasutada kasutajate ajaloolisi sõnumeid pahaloomuliseks tegevuseks.

Kes ja mida peaks tegema?

Tarkvara kasutajatel soovitame tarkvara uuendada vähemalt versioonini 102.3.1, et ennetada mainitud turvanõrkuste ärakasutamist.

RIA analüüsi- ja ennetusosakond