Tag Archives: Chrome

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2024. aasta 26. nädalal

Google Chrome parandas neli kriitilist haavatavust

Google andis välja neli Chrome’i turbeuuendust, parandamaks turvanõrkused tähistega CVE-2024-6290 kuni CVE-2024-6293. Haavatavused mõjutavad populaarse brauseri Dawni ja Swiftshaderi komponente. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada, ent soovitame uuendada Chrome’i esimesel võimalusel. Google Chrome tuleks Windowsi ja macOSi kasutajatel uuendada versioonile 126.0.6478.126/127 ja Linuxi kasutajatel versioonile 126.0.6478.126 (SW).

Juniper Networks paikas kriitilise turvavea

Juniper Networks paikas kriitilise turvavea tähisega CVE-2024-2973, mis võimaldab ründajal autentimisest mööda minna ja saada kontroll seadme üle. Viga on paigatud Session Smart Routeri versioonides 5.6.15, 6.1.9-lts ja 6.2.5-sts ning WAN Assurance Routersi versioonides SSR-6.1.9 ja SSR-6.2.5.

Kuna Juniperi seadmed ja haavatavused on varasemalt olnud ründajate sihtmärgiks, siis soovitame tarkvara uuendada niipea kui võimalik. Näiteks eelmisel aastal rünnati sama ettevõtte haavatavusi, mis mõjutasid EXi lüliteid ja SRXi tulemüüre (BC, Juniper).

Apple paikas AirPodside turvanõrkuse, mis võimaldab pealtkuulamist

Turvaviga tähisega CVE-2024-27867 mõjutab Apple Airpodsi kõrvaklappide versioone AirPods (2nd generation ja uuemad), AirPods Pro, AirPods Max, Powerbeats Pro ja Beats Fit Pro. Turvavea eduka ärakasutamise korral võib ründaja võltsida ühendatavat Bluetoothi seadet ja saada ligipääsu ohvri kõrvaklappidele ning seejärel kõnesid pealt kuulata. Kõigil Apple’i kõrvaklappide kasutajatel tuleks tarkvara uuendada. Haavatavuse parandamiseks tuleks rakendada AirPodsi tarkvara uuendus 6A326 või 6F8 ja Beatsi tarkvara uuendus 6F8 (HN, Apple).

Rünnak nimega GrimResource kasutab võrkude murdmiseks MSC-faile ja Windows XSS-i viga

GrimResource’i rünnak algab pahatahtliku MSC (Microsoft Saved Console)-failiga, mis kasutab ära juba aastast 2018 teada olevat XSS-i haavatavust ‘apds.dll’ teegis. MSC (.msc) failitüüpi kasutatakse Microsofti halduskonsoolis (MMC) operatsioonisüsteemi haldamiseks või tööriistade kohandatud vaadete loomiseks. Ründajate levitatav pahatahtlik MSC-fail sisaldab StringTable-viidet haavatavale APDS-i ressursile ning kui sihtmärk selle avab, on võimalik käivitada URL-i kaudu suvalist JavaScripti (BC).

Ollama tehisintellekti infrastruktuuri tööriistas avastati kriitiline koodi kaugkäivitamist võimaldav haavatavus

Ollama on teenus suurte keelemudelite (LLM) pakendamiseks, juurutamiseks ja käitamiseks Windowsi, Linuxi ja macOSi seadmetes. Kriitiline haavatavus tähisega CVE-2024-37032 võimaldab ründajal kirjutada üle suvalisi serveris olevaid faile ning kaugkäivitada koodi. Viga on paigatud tarkvara versioonis 0.1.34 (HN).

Kriitiline GitLabi turvaviga võimaldab ründajal saada kõrgemad õigused

Kriitiline GitLabi turvaviga mõjutab teatud GitLab Community ja Enterprise Editioni tooteid ning võimaldab kasutajal saada kõrgemad õigused. Turvanõrkus tähisega CVE-2024-5655 on hinnatud kriitilise CVSS skooriga 9.6/10. Haavatavus mõjutab GitLabi versioone CE/EE alates 15.8 kuni 16.11.4, 17.0.0 kuni 17.0.2 ja 17.1.0 kuni 17.1.0. Viga on parandatud GitLabi versioonides 17.1.1, 17.0.3 ja 16.11.5. Lisaks nimetatud haavatavusele paigati veel 13 turvaviga, millest kolm on hinnatud suure mõjuga nõrkuseks. GitLab soovitab kõigil kasutajatel uuendada tarkvara esimesel võimalusel (BC). 

Olulisemad turvanõrkused 2024. aasta 25. nädalal

VMware paikas oma toodetes haavatavusi

VMware paikas kaks kriitilist haavatavust, mis mõjutavad vCenter Serveri tarkvara. vCenter Server on haldustarkvara, mida kasutatakse VMware’i virtualiseeritud keskkondade haldamiseks. Mõlemad haavatavused tähistega CVE-2024-37079 ja CVE-2024-37080 on hinnatud kriitilise CVSS skooriga 9.8/10. Eduka ründe korral on võimalik nende abil koodi kaugkäivitada. Haavatavused on paigatud vCenteri versioonides 8.0 ja 7.0, samuti Cloud Foundationi versioonides 5.x ja 4.x.

Lisaks paikas ettevõtte ka kõrge mõjuga turvavea tähisega CVE-2024-37081, mille kaudu on autentimata ründajal võimalik saada juurkasutaja õigused vCenter Serveri tarkvaras.

Kuna erinevad VMware’i tooted on laialdaselt kasutusel, siis on need ka varasemalt osutunud ründajate sihtmärgiks. Nende haavatavuste kaudu on potentsiaalselt võimalik saada ligipääs ettevõtete tundlikule infole, mistõttu on oluline tarkvara värskendada esimesel võimalusel (SCM, SA).

Google avaldas uue Chrome’i versiooni

Google avaldas Chrome’i versiooni 126 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Parandatud turvanõrkuste seas on neli kõrge mõjuga turvaviga. Üks neist on haavatavus tähisega CVE-2024-6100, mida esitleti TyphoonPWN 2024 häkkimisvõistlusel. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada.

Soovitame uuendada Chrome’i esimesel võimalusel – Windowsi ja macOSi kasutajad versioonile 126.0.6478.114/115 ning Linuxi kasutajad 126.0.6478.114 (SA, SW).

Atlassian paikas oma toodetes mitmeid kõrge mõjuga haavatavusi

Atlassian parandas mitu kõrge mõjuga haavatavust, mis mõjutavad ettevõtte tarkvarasid Confluence, Crucible ja Jira.

Näiteks Confluence Data Center and Serveri tarkvaras paigati kuus turvaviga, mis on parandatud tarkvara versioonides 8.9.3, 8.5.11 (LTS) ja 7.19.24 (LTS).

Crucible Data Center and Server tuleks uuendada versioonile 4.8.15 või uuemale. Jira Data Center and Serveri vead on paigatud versioonides 9.16.0, 9.16.1, 9.12.8, 9.12.10 (LTS), 9.4.21 ja 9.4.23 (LTS).

Atlassian ei maini, et nimetatud turvanõrkusi oleks õnnestunud kuritarvitada. Soovitame samas kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks (SW, SA, Atlassian).

Adobe Commerce’i ja Magento veebilehed on turvanõrkuse tõttu ohus

CosmicStingi-nimeline turvanõrkus mõjutab suurt osa Adobe Commerce’i ja Magento veebilehti – hetkel on arvatavalt ohus miljonid veebilehed. Nimetatud tarkvarasid kasutavad e-poed üle maailma ja kolm neljandikku neist ei ole veel turvauuendusi rakendanud. Haavatavus tähisega CVE-2024-34102 võimaldab koodi käivitada ja on hinnatud kriitilise CVSS skooriga 9.8/10. Sanseci hinnangul on tegemist ühe kriitilisema turvaveaga viimase kahe aasta jooksul, mis mõjutab Magento ja Adobe Commerce’i tarkvarasid.

Viga on paigatud järgmistes tarkvarade versioonides:

  • Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
  • Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Webhooks Plugin version 1.5.0

Kõigil Adobe Commerce’i ja Magento Open Source’i tarkvarade kasutajatel tuleks teha turvauuendus (BC, Sansec).

Ligikaudu 150 000 ASUSe ruuterit on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus tähisega CVE-2024-3080 tuli avalikuks juuni keskpaigas ja see võimaldab ründajal autentimisest mööda minna. Kirjutasime turvaveast ka siin blogis. Veale on olemas parandus 14. juunist, kuid paljud ASUSe ruuterite kasutajad ei ole veel oma seadme tarkvara uuendanud. Vähemalt 150 000 ruuterit on uuendamata takrvaraga ja seetõttu kriitilisele turvanõrkusele haavatavad (CSD).