Tag Archives: Chrome

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).

Olulisemad turvanõrkused 2023. aasta 48. nädalal

  • Apple paikas kaks nullpäeva turvanõrkust

Apple on avalikustanud erakorralised turvavärskendused, et kõrvaldada kaks nullpäeva turvaauku, mida on ettevõtte sõnul rünnetes aktiivselt ära kasutatud (SA).

Mõlemad haavatavused on seotud WebKitiga ja mõjutavad iPhone’i, iPadi ja Maci seadmeid. Haavatavusi saab ära kasutada tundliku teabe varastamiseks või suvalise pahaloomulise koodi käivitamiseks mõjutatud seadmes (SA).

Apple on kõrvaldanud nullpäeva turvanõrkused iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 ja Safari 17.1.2 versioonides. Soovitatav on nimetatud tarkvarad uuendada esimesel võimalusel (SA).

Sel aastal on ettevõte paiganud juba 20 nullpäeva haavatavust (BC).

  • CACTUS-nimeline lunavarakampaania kasutab hiljuti avastatud turvavigu

CACTUS-nimeline lunavarakampaania kasutab hiljuti avalikustatud turvavigu pilvanalüütika ja äriteabe platvormis Qlik Sense, et saada esmane juurdepääs sihtmärgiks valitud keskkondadele. Analüütikute hinnangul kuritarvitatakse viimase kolme kuu jooksul avalikustatud platvormi turvanõrkuseid, sealhulgas haavatavusi CVE-2023-41265 ja CVE-2023-41266 (THN).

Pärast mõjutatud süsteemidesse sisse tungimist, kasutavad ründajad Qlik Sense Scheduler teenust, et täiendavaid pahaloomulisi tööriistu sinna alla laadida. Rünnete käigus on muudetud ka süsteemiga seotud administraatorikontode paroole. Rünnete lõpetuseks krüpteeritakse failid CACTUS-nimelise lunavaraga (AW).

Konkreetse tarkvara arendaja on kõikidele turvanõrkustele avalikustanud ka parandused, rohkem infot leiate tootja kodulehelt (Qlik).

  • LogoFAIL turvanõrkused ohustavad miljoneid arvuteid

Hiljuti UEFIs (Unified Extensible Firmware Interface) avastatud LogoFAIL-nimelised haavatavused kujutavad miljonite arvutite jaoks kriitilist turvaohtu. Need haavatavused mõjutavad sadu tarbija- ja ettevõtteklassi x86- ja ARM-mudeleid erinevatelt tarnijatelt, sealhulgas Intelilt, Acerilt ja Lenovolt. LogoFAIL turvanõrkuste mõju on märkimisväärne, kuna see võib potentsiaalselt lubada mõjutatud süsteemid üle võtta, hoolimata arvutitele paigaldatud kaitsemeetmetest. Nende haavatavuste laialdane levik on tekitanud ekspertides muret laiemalt, mitte ainult üksikute tarnijate kontekstis. Turvauuendused avaldatakse eeldatavasti 6. detsembril (DR).

  • VMware parandas üle kahe nädala paikamata olnud kriitilise turvanõrkuse Cloud Director tarkvaras

VMware parandas hiljuti Cloud Directori tarkvaral kriitilise autentimisest möödapääsemist võimaldava haavatavuse, mis oli olnud turvapaigata üle kahe nädala pärast selle avalikustamist 14. novembril (BP).

Cloud Director on platvorm, mis võimaldab administraatoritel hallata mitmes kohas asuvaid andmekeskusi virtuaalsete andmekeskustena (VDC). Autentimisest möödaviimise turvaviga, mis on identifitseeritud kui CVE-2023-34060, mõjutab ainult neid seadmeid, mis töötavad versiooniga VCD Appliance 10.5 ning mis uuendati sellele versioonile vanemalt versioonilt (BP).

Kellel ei ole võimalik kohe turvaparandust rakendada, pakub VMware ka ajutisi kaitsemeetmeid. Täpsemalt saab nende kohta lugeda tootja kodulehelt (VMware).

  • Zyxel parandas enda seadmete kolm kriitilist haavatavust

Zyxel avalikustas hiljuti turvapaigad, et parandada 15 haavatavust, mis mõjutavad võrguga ühendatud salvestusseadmeid (network-attached storage), tulemüüre ning  pääsupunkte (acces point) (THN).

15 turvanõrkuse seas parandati kolm kriitilist viga, mille abil on võimalik autentimisest mööda pääseda. Lisaks 15 haavatavusele parandas Zyxel hiljuti veel üheksa turvaviga, mida sai kasutada süsteemifailidele ja administraatori logidele juurdepääsuks ning teenusetõkestusrünnete tekitamiseks (THN).

Arvestades, et Zyxeli seadmed on sageli ründajate sihikul, on mõjutatud seadmete kasutajatel tungivalt soovitatav turvariskide leevendamiseks rakendada uusimaid värskendusi (THN).

  • Google parandas Chrome’il nullpäeva turvanõrkuse

Google andis hiljuti välja turvavärskenduse, et parandada Google Chrome’i kriitiline nullpäeva haavatavus, mida on rünnakutes juba ka ära kasutatud (BP).

Haavatavuse CVE-2023-6345 edukas kuritarvitamine võimaldab ründajal häirida ohvri brauseri tööd või käivitada seal suvalist koodi. Turvanõrkus on parandatud Windowsi kasutajatele mõeldud brauseri versioonis 119.0.6045.199/.200 ning Maci ja Linuxi kasutajatele mõeldud versioonis 119.0.6045.199. Kasutajatel on soovitatav rakendada uusimad värskendused, et leevendada võimalikke turvariske ja tagada nende tarkvara kiire värskendamine (BP).

  • Teadlased avastasid kuus Bluetoothi mõjutavat haavatavust koondnimetusega BLUFFS

Eurecomi teadlased on välja töötanud kuus uut rünnakut, mille koondnimetus on “BLUFFS”, mis võivad murda Bluetoothi seansside saladust, võimaldades seadmes esineda kellegi teisena ja Man-in-the-middle (MitM) tüüpi rünnakuid (BP).

Rünnakud kasutavad ära kaht varem tundmatut Bluetoothi standardi viga, mis on seotud sellega, kuidas seansivõtmed tuletatakse andmete dekrüpteerimiseks. Need vead ei ole spetsiifilised riist- või tarkvarakonfiguratsioonidele, vaid on hoopis arhitektuursed, mis tähendab, et need mõjutavad Bluetoothi põhitasandil (BP).

Rünnaku õnnestumiseks peab ründav seade olema kahe haavatava Bluetooth-seadme traadita levialas, mis käivitavad krüpteerimisprotseduuri (BP).

Turvanõrkuseid jälgitakse identifikaatori CVE-2023-24023 järgi ja need mõjutavad Bluetoothi põhispetsifikatsiooni 4.2–5.4. BLUFFS mõjutab 2014. aasta detsembris välja antud Bluetooth 4.2 ja kõiki versioone kuni uusima, 2023. aasta veebruaris välja antud Bluetooth 5.4 (BP).

Olulisemad turvanõrkused 2023. aasta 43. nädalal

  • Apple avaldas turvauuendused iOSi ja macOSi tarkvaradele

Apple avaldas eelmisel nädalal turvauuendused iOSi ja macOSi tarkvaradele. iOSi tarkvaras paigati 21 ja macOSi tarkvaras 44 haavatavust. Turvanõrkused lubavad ründajatel potentsiaalselt käivitada pahaloomulist koodi, haavatavates süsteemides õigusi suurendada või varastada süsteemidest tundlikku informatsiooni. Hetkel ei ole haavatavusi teadaolevalt rünnetes ära kasutatud. RIA soovitab nõrkustega seotud Apple’i seadmed uuendada iOS 17.1, iPadOS 17 ja macOS Sonoma 14.1 (SW, Apple, Apple).

  • Firefoxil ja Chrome’il paigati kõrge mõjuga turvanõrkused

Mozilla avaldas Firefoxi uue versiooni tähisega 119, milles on parandatud 11 turvanõrkust, nende hulgas kolm kõrge mõjuga haavatavust. Vigade tõttu võib haavatava sirviku kasutaja sattuda ohvriks clickjacking-nimelisele rünnakule. Samuti parandavad turvauuendused kaks haavatavust, mis lubavad ründajal potentsiaalselt käivitada pahaloomulist koodi. Lisaks avaldati ka turvapaigad tarkvaradele Firefox ESR 115.4 ja Thunderbird 115.4.1. Teisipäeval teavitas ka Google, et on paiganud Chrome’i veebilehitseja versioonis 118.0.5993.117 kaks turvanõrkust. RIA soovitab nii Firefoxi kui ka Chrome’i veebilehitsejad uuendada esimesel võimalusel (SW, Mozilla, Chrome).

  • Citrix hoiatab kriitilise turvanõrkuse eest

Citrix hoiatas eelmisel nädalal turvanõrkuse (CVE-2023-4966) eest, mis mõjutab NetScaler ADC ja Gateway seadmeid ning mida on juba rünnete läbiviimisel kuritarvitatud. Veale avalikustati turvaparandus kaks nädalat tagasi. Rünnakute suhtes haavatavad NetScaleri seadmed peavad olema konfigureeritud lüüsina (VPN virtuaalserver, ICA puhverserver, CVPN, RDP puhverserver) või AAA virtuaalserverina. Nõrkust on võimalik autentimata ründajal kaugelt ära kasutada.

Hiljuti avaldatud ülevaatest selgus, et ründajad on haavatavust kuritarvitanud sessioonide varastamiseks, et kaheastmelisest autentimisest mööda pääseda. Tootja soovitab haavatavad seadmed paigata esimesel võimalusel (BC, Netscaler, Mandiant).

  • VMware’i tarkvaras olev viga laseb autentimisest mööda minna

VMware’i hoiatas kliente Aria Operations for Logs nimelises tarkvaras peituva turvanõrkuse (CVE-2023-34051) eest, mis võimaldab ründajal autentimisest mööda minna ja käivitada pahatahtlikku koodi. Veale on avaldatud ka kontseptsiooni tõendus, mis võib kaasa tuua rünnete kasvu. Viga on parandatud Aria Operations for Logs versioonis 8.14 (SA, VMware). RIA soovitab kõigil mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel.

  • Riikliku taustaga küberrühmitus kuritarvitab Roundcube’i meiliteenuse turvanõrkust

Hiljuti avaldatud raportist selgus, et küberspionaaži poolest tuntud riikliku taustaga küberrühmitus on oktoobris kuritarvitanud XSS-i turvanõrkust, mis peitub Roundcube’i meiliserveri tarkvaras. Raport kajastab, kuidas antud rühmitus on sihtinud Euroopa valitsusasutusi ja erinevaid mõttekodasid. Ründajatel on võimalik spetsiaalselt koostatud e-kirja abil käivitada Roundcube’i kasutaja brauseris suvalist JavaScripti koodi.

Raporti autorite hinnangul on küberrühmitus üritanud turvanõrkust ära kasutada selleks, et ligi pääseda haavatavat tarkvara kasutava kasutaja e-kirjadele. Turvanõrkus on paigatud Roundcube’i versioonides 1.4.15, 1.5.5 ja 1.6.4 (ESET, SW).