Tag Archives: Chrome

Olulisemad turvanõrkused 2024. aasta 36. nädalal

Google paikas hulga suure mõjuga turvavigu Chromiumi projektis ja Chrome’is

Google parandas hulga turvavigu nii Chromiumi Projectis kui ka Chrome’i brauseris. Üksteist parandatud turvaviga olid suure mõjuga ja mõnede turvanõrkuste jaoks on olemas ka aktiivselt kasutatavad ründekoodid.

Soovitame esimesel võimalusel uuendada Chromiumil baseeruvad brauserid:

Androidi tarkvarauuendus parandab mitmed turvavead

Androidi nutiseadmetes paigati 35 turvaviga, mille hulgas oli suure mõjuga haavatavus tähisega CVE-2024-32896 (CVSS skoor 7.8), mis võimaldab õiguste vallutust (privilege escalation). Nimetatud turvaviga on juba rünnete läbiviimisel ära kasutatud.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, SA).

Zyxel paikas oma toodetes mitmeid turvavigu

Zyxel parandas hulgaliselt turvaauke oma erinevates võrguseadmetes, nende hulgas ka kriitilise turvavea tähisega CVE-2024-7261. Turvaviga võimaldab autentimata ründajal käivitada erinevaid käsklusi Zyxeli seadmetes (access point) ja ruuterites, saates haavatavatele seadmetele spetsiaalselt loodud küpsise.

Paigati mitmeid vigasid APT, USG Flex, USG Flex 50(W) ja USG20(W)-VPN tulemüürides ning kommutaatorites (switch), mis võimaldavad ründajal teha DoS-i, käsusüste ja käskude käivitamist (CVE-2024-6343, CVE-2024-7203, CVE-2024-42059, CVE-2024-42060, CVE-2024-42057, CVE-2024-42058, CVE-2024-42061).

Seadmetes Zyxel’s 5G NR/4G LTE CPE, DSL/Ethernet CPE, fiber ONT, WiFi pikendi (WiFi extender) parandati puhvri ületäitumise turvanõrkus CVE-2024-5412 (CVSS skoor 7.5/10) “libclinkc” teegis, mis võimaldab autentimata ründajal tekitada seadmes teenusetõkestuse (DoS) seisundi, saates haavatavale seadmele spetsiaalse HTTP-päringu.

Ettevõtte soovitab kõigil kasutajatel tarkvara esimesel võimalusel uuendada (HNS).

VMware paikas suure mõjuga turvavea Fusioni tarkvaras

Virtualiseerimistarkvara pakkuja VMware tuvastas Fusioni hüperviisoris väga tõsise haavatavuse, mis võimaldab tavakasutaja õigustes käivitada koodi Fusioni rakenduse kontekstis. Eduka ründe korral on võimalik kogu süsteem kompromiteerida.

Turvaviga tähisega CVE-2024-38811 on hinnatud kõrge CVSS skooriga 8.8/10. Ei ole avaldatud, kas antud haavatavust on reaalselt ära kasutatud.

Haavatavus mõjutab kõiki VMware Fusioni versioone kuni 13.x ja lahenduseks on tarkvara uuendamine versioonile 13.6 (SW, SA).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

Turvanõrkus (CVE-2024-44000) mõjutab pistikprogrammiLiteSpeed Cacheja

selle kaudu on võimalik autentimata ründajal saada kontrolli kogu veebilehe üle. Juba on leitavad ka antud turvanõrkust ära kasutavad koodinäidised.

Eelmisest LiteSpeed Cache’i kriitilisest turvanõrkusest kirjutasime 34. nädala olukorra blogikirjes.

Turvanõrkus on paigatud tarkvara versioonis 6.5.0.1, kuid juba on ka väljas versioon 6.5.0.2. Soovitame kõigil kasutajatel uuendada pistikprogramm uusimale versioonile (BC).

Olulisemad turvanõrkused 2024. aasta 35. nädalal

Google paikas Chrome’i veebilehitsejas taas nullpäeva turvanõrkuse

Tegemist on juba kümnenda sel aastal parandatud nullpäeva turvanõrkusega Chrome’i veebilehitsejas. Google’i teatel on turvaviga tähisega CVE-2024-7965 rünnetes ka ära kasutatud. Uuendusega paigati kokku 37 turvaviga, nende hulgas oli ka eelmisel nädalal avalikuks tulnud nullpäeva turvanõrkus CVE-2024-7971. Kuus turvaviga on hinnatud suure mõjuga haavatavuseks.

Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 (Linux) või 128.0.6613.84/.85 (Windows, Mac) esimesel võimalusel.

Eelmisel nädalal avaldati ka uudis, et Google maksab turvanõrkuste avastajatele kuni 250 000 USA dollari suurust preemiat (HN, BC, Chrome, BC).

Miljon WordPressi veebilehte on ohus turvanõrkuse tõttu

Kriitiline turvanõrkus tähisega CVE-2024-6386 mõjutab pistikprogrammi WPML multilingual plugin for WordPress, mis on kasutusel miljonil WordPressi veebilehel. Tegemist on populaarse pluginaga, mille kaudu saab luua 65 erinevas keeles veebilehti. Haavatavuse kaudu on võimalik ründajal pahaloomulist koodi kaugkäivitada ja seeläbi veebileht kompromiteerida. Turvaviga on hinnatud kriitilise CVSS skooriga 9.9/10 ja sellele on olemas ka kontseptsiooni tõendus, mis näitab, kuidas on võimalik turvaviga ära kasutada.

Viga on parandatud tarkvara versioonis 4.6.13. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW, SA).

Cisco paikas mitmeid turvanõrkuseid NX-OS tarkvaras

Cisco paikas oma toodetes kokku kuus haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2024-20446, mis võimaldab autentimata ründajal põhjustada teenusekatkestuse. DHCPv6-sõnumite konkreetsete väljade vale käsitlemine võimaldab ründajal saata pahaloomulisi pakette haavatava seadme IPv6-aadressile. Ettevõte sõnul mõjutab haavatavus vaid Nexus 3000, 7000 ja 9000 seeriate lüliteid ja seda teatud tingimuste täitmisel.

Lisaks paigati kaks keskmise mõjuga viga Application Policy Infrastructure Controlleri (APIC) tarkvaras. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud (SW, Cisco).

Fortra paikas turvavead FileCatalyst Workflow tarkvaras

Fortra parandas FileCatalyst Workflow tarkvaras kaks haavatavust, millest üks on kriitilise mõjuga. Turvaviga tähisega CVE-2024-6633 on hinnatud kriitilise CVSS skooriga 9.8/10 ja selle kaudu on võimalik autentimata ründajal saada andmebaasile juurdepääs, muuta või filtreerida seal olevaid andmeid ning luua uusi administraatorikontosid. Teine paigatud viga tähisega CVE-2024-6632 võimaldab SQL-käsklusi käivitada.  

Vead mõjutavad  kõiki FileCatalyst Workflow versioone kuni 5.1.6. Fortra soovitab klientidel uuendada FileCatalyst Workflow versioonile 5.1.7 või uuemale. Hetkel ei ole teada, kas nimetatud vigasid on õnnestunud kuritarvitada (SA, SW).

Olulisemad turvanõrkused 2024. aasta 34. nädalal

Mitmed macOS-ile mõeldud Microsofti rakendused on haavatavad rünnakutele

Cisco Talose teadlased avastasid, et ründajad saavad kuritarvitada macOS-i jaoks mõeldud populaarsete Microsofti rakenduste haavatavusi video- ja heliklippide salvestamiseks, pildistamiseks, andmetele juurdepääsuks ning e-kirjade saatmiseks. Turvavead leiti tarkvarade Microsoft Teams, OneNote, Outlook, Word, Excel ja Powerpoint macOSi jaoks loodud versioonidest. Turvavead võimaldavad ründajatel sisestada rakenduse tööprotsessidesse pahatahtlikku teeki. Hetkel on paigatud Teamsi ja OneNote’i turvavead, kuid Microsofti sõnul ei ole tegemist tõsiste turvavigadega ja nad ei plaani teistes tarkvarades olevaid vigu parandada (HNS, DR).

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 100 000 WordPressi veebilehe on mõjutatud GiveWP pistikprogrammis olevast kriitilisest haavatavusest tähisega CVE-2024-5932, mille kaudu võib ründaja käivitada suvalist koodi ja kustutada veebilehel olevaid faile. Samuti on võimalik veebileht täielikult üle võtta ja kogu seal olev info kustutada. Haavatavus on hinnatud maksimaalse CVSS skooriga 10/10.

GiveWP puhul on tegemist populaarse annetamise ja raha kogumise pistikprogrammiga, millel on üle 100 000 aktiivse kasutaja.

Viga mõjutab kõiki plugina versioone kuni 3.14.1 ja on parandatud versioonis 3.14.2. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (SW).

Google paikas Chrome’i veebilehitsejas selle aasta üheksanda nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-7971 juba rünnetes ära kasutatud. Lisaks nullpäeva turvanõrkusele paigati veel 37 haavatavust. Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 esimesel võimalusel. Tegemist on üheksanda Chrome’i nullpäeva turvanõrkusega sel aastal (BC, Chrome).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-6800 on hinnatud kriitilise CVSS skooriga 9.5/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.14 ja on paigatud versioonides 3.13.3, 3.12.8, 3.11.14 ja 3.10.16. Lisaks nimetatud veale paigati veel kaks keskmise mõjuga haavatavust (CVE-2024-7711 ja CVE-2024-6337). Kõigist kolmest turvaprobleemist teatati GitHubi Bug Bounty programmi kaudu HackerOne’i platvormil.

FOFA otsingumootori andmetel on hetkel internetile avatud üle 36 500 GitHubi Enterprise Serveri rakenduse, aga ei ole teada, kui paljud neist kasutavad turvanõrkusega versiooni.

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada (BC, SW).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus (CVE-2024-28000) mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada administraatoriõigused ning võtta veebileht enda kontrolli alla.  Pistikprogrammi on alla laetud enam kui 5 miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga.

Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 6.3.0.1. Turvanõrkus on paigatud tarkvara versioonis 6.4 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile.

Häkkerid alustasid juba päev pärast tehniliste üksikasjade avalikustamist haavatavuse ärakasutamist rünnete läbiviimisel. Reedese info põhjal oli vaid 30% protsenti kasutajatest pistikprogrammi uuendanud ja kasutas turvapaigatud versiooni. Wordfence’i sõnul tehti vaid ühe ööpäeva jooksul 48 500 ründekatset. See on tänavu teine ​​kord, kui häkkerid on sihikule võtnud LiteSpeed Cache’i plugina. Mais kasutasid ründajad haavatavust CVE-2023-40000, et luua administraatorikontosid ja võtta üle haavatavad veebisaidid (BC, BC).

Atlassian paikas turvavigu tarkvarades Bamboo, Confluence, Crowd ja Jira

Atlassian väljastas turvapaigad üheksa suure mõjuga haavatavuse jaoks enda toodetes Bamboo, Confluence, Crowd ja Jira.

Bamboo Data Center and Serveri tarkvaras paigati kaks suure mõjuga viga, millest üks võimaldab koodi kaugkäivitada. Confluence Data Center and Serveri tootes paigati samuti kaks suure mõjuga haavatavust. Täpsem nimekiri parandatud turvavigadest on Atlassiani kodulehel.

Kasutajatel soovitatakse tarkvara esimesel võimalusel uuendada, kuigi ettevõte ei maini, et neid vigu oleks õnnestunud ära kasutada (SW, Atlassian).

Häkkerid saavad üle võtta Ecovacsi robotseadmeid

Hiljuti tuli avalikuks turvanõrkus, mille kaudu saavad häkkerid luurata Ecovacsi robottolmuimejate ja -muruniidukite omanikke.

Teadlased analüüsisid järgmisi seadmeid: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat Z1, Air Ecova, Ecovacs Airbot AVA ja Ecovacs Airbot ANDY.

Eksperdid avastasid mitmeid haavatavusi, mis võimaldavad ründajatel Bluetoothi ​​kaudu seadmete kaameraid ja mikrofone üle võtta. Selgus, et seadmetel ei ole valgustust, mis näitaks, et nende kaamerad ja mikrofonid on sisse lülitatud. Ecovacs on lubanud turvavead paigata (SA, TC).