Tag Archives: Chrome

Olulised turvanõrkused 2023. aasta 37. nädalal

Lühikokkuvõte eelmisest nädalast

  • Lõppenud nädalal paikasid mitmed ettevõtted ridamisi nullpäeva turvanõrkusi.
  • Microsoft parandas mitukümmend turvanõrkust, samuti tulid turvauuendused Firefoxi ja Chrome’i veebibrauseritele.

      Sellest kõigest kirjutame lähemalt järgnevas ülevaates.

  • Microsoft paikas 59 turvaviga

Microsoft avalikustas enda toodetele septembrikuu turvauuendused, mis parandavad kokku 59 turvanõrkust (sh kaks nullpäeva turvanõrkust). Ettevõtte hindab viit haavatavust 59-st kriitiliseks, nende viie seas on neli koodi kaugkäivitamist võimaldavat turvanõrkust ja üks õiguste suurendamist võimaldav turvanõrkus (seotud Azure’i Kubernetese teenusega). Nullpäeva turvanõrkuseid (tähistusetega vastavalt CVE-2023-36802 ja  CVE-2023-36761) on  ettevõtte hinnangul juba küberrünnakutes ära kasutatud. Nende abil on ründajal võimalik saada kõrgendatud õigused või varastada NTLM räsisid, mis võimaldavad ründajal potentsiaalselt mõjutatud kasutajakontod üle võtta. Kui kasutate turvauuenduse/uuendused saanud tarkvara (nimekiri siit), uuendage see esimesel võimalusel (BC).

  • Mozilla ja Google parandasid nullpäeva turvanõrkuse

Google andis plaaniväliselt välja turvavärskenduse, et parandada Chrome’i nullpäeva turvanõrkus. Kriitilise nullpäeva haavatavuse (CVE-2023-4863) põhjustab ühe kooditeegi puhvri üle täitumise (buffer overflow) nõrkus, mille mõju võib ulatuda tõrgetest veebibrauseri töös kuni võimaluseni käivitada pahaloomulist koodi ohvri süsteemis (BC, Google).

Chrome’i kasutajatel soovitatakse võimalikult kiiresti uuendada oma veebibrauser versioonile 116.0.5845.187 (Mac ja Linux) ja 116.0.5845.187/.188 (Windows). Värskenduse leiate, kui valite Chrome’i menüü > Abi > Teave Google Chrome’i kohta. Chrome kontrollib ka uute värskenduste olemasolu ja installib need pärast taaskäivitamist automaatselt, ilma et oleks vaja kasutaja sekkumist (BC, Google).

Sarnaselt Google’ile parandas antud turvanõrkuse ka Mozilla. Nimelt avalikustati turvauuendus nii Firefoxi veebibrauserile kui ka Thunderbirdi meilirakendusele. Turvanõrkus on parandatud Firefoxi versioonides Firefox 117.0.1, Firefox ESR 115.2.1 ja Firefox ESR 102.15.1 ning Thunderbirdi versioonides 102.15.1 ja 115.2.2 (BC, Mozilla).

  • Avalikustati kriitiline Kubernetese turvanõrkus

Hiljuti avastati Kubernetese tarkvaras tõsised haavatavused, mida tähistatakse kui CVE-2023-3676, CVE-2023-3893 ja CVE-2023-3955. Kubernetes on haldustarkvara, mida kasutatakse kasutuses olevate rakenduste organiseerimiseks, parandamiseks, uuendamiseks jne. CVE-2023-3676 pakub ründajale võimaluse potentsiaalelt kompromiteerida kõik haavatava Kubernetesega seotud Windowsi süsteemid. Seetõttu on väga oluline, et mõjutatud isikud turvauuenduse kiiresti rakendaksid. Haavatavus mõjutab Kubernetese vaikeinstallatsioone. Täpsemalt saab haavatavuse ja vastumeetmete kohta lugeda siit (SA, Akamai).

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähis Tootja Mõjutatud toode Mõju
CVE-2018-13379 Fortinet FortiOS ja FortiProxy SSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell) Microsoft Exchange Koodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell) Microsoft Exchange Kaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell) Microsoft Exchange Õiguste suurendamine
CVE-2021-40539 Zoho ADSelfService Plus Koodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084 Atlassian Confluence Koodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell) Apache Log4j2 Koodi kaugkäivitamise võimalus
CVE-2022-22954 VMware Workspace ONE Koodi kaugkäivitamise võimalus
CVE-2022-22960 VMware Workspace ONE Õiguste suurendmine
CVE-2022-1388 F5 Networks BIG-IP Autentimisest möödapääsemine
CVE-2022-30190 Microsoft Mitmed erinevad tooted Koodi kaugkäivitamise võimalus
CVE-2022-26134 Atlassian Confluence Koodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.

Olulised turvanõrkused 2023. aasta 24. nädalal

Adobe paikas enda toodetel mitmed haavatavused

Adobe avalikustas enda toodetele juunikuu turvauuendused. Turvauuendustega parandas ettevõte näiteks Adobe Commerce’i ja Magento platvormidel 12 turvanõrkust. Eduka ärakasutamise korral on ründajatel võimalik käivitada nende turvavigade kaudu suvalist koodi, lugeda haavatavaid failisüsteeme või hiilida erinevatest turvafunktsioonidest mööda. Adobe väljastas turvaparandused samuti ka Animate’i ja Adobe Substance 3D Designer tarkvaradele. Nendes tarkvarades peituvad turvavead võimaldavad ründajatel samuti suvalist koodi käivitada. Ettevõte ei ole siiani siiski märganud, et konkreetseid turvanõrkuseid oleks suudetud kuritarvitada (SW).


Kes ja mida peaks tegema? Kui te Adobe tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.

Microsoft parandas uuendustega kuus kriitilist haavatavust

Microsoft avalikustas eelmisel nädalal enda erinevatele toodetele juunikuu turvauuendused. Kokku parandati 78 turvaviga, millest 38 märgitakse koodi kaugkäitust (Remote Code Execution ehkRCE) võimaldavateks haavatavusteks. 78 turvanõrkusest kuus said kriitilise hinnangu. Kaks mõneti olulisemat turvaviga on seotud Microsoft SharePointi ja Exchange’iga. Esimese abil (CVE-2023-29357) oleks ründajal võimalik haavatavas SharePointi serveris enda õiguseid suurendada, teise abil on aga Exchange’i serveris (CVE-2023-32031) võimalik käivitada pahaloomulist koodi (BP).  

Kes ja mida peaks tegema?

Kui te Microsofti tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.  Nimekirja paigatud turvanõrkustest leiate siit.

Riikliku taustaga küberrühmitus kasutas VMware’i nullpäeva turvanõrkust pahavara paigaldamiseks

VMware paikas eelmisel nädalal VMware ESXi nullpäeva haavatavuse, mida riikliku taustaga küberrühmitus kasutas Windowsi ja Linuxi virtuaalmasinatesse pahavara paigaldamiseks ja andmete varastamiseks. Rühmitus, mida tuntakse nimetusega UNC3886, kuritarvitas turvaviga CVE-2023-20867, et paigaldada virtuaalmasinatesse pahavara. Pahavara abil loodi süsteemidele püsiv juurdepääs. Rünnakuid analüüsinud küberturbeettevõtte sõnul on tegu tehniliselt võimeka rühmitusega, millel on laialdased teadmised rünnatavatest tarkvaradest (nt ESXi, vCenter jpm). Rühmitus sihib peamiselt tarkvarasid ja seadmeid, millel puuduvad traditsioonliselt lõpppunkti turbelahendused (Endpoint Detection and Response) ning millel on nullpäeva turvanõrkused (Mandiant, BP).

Kes ja mida peaks tegema?

Kui te haavatavat VMware ESXi tarkvara kasutate, uuendage see esimesel võimalusel.

Chrome’il paigati kriitiline turvanõrkus

Google Chrome’i uues versioonis 114.0.5735.133/134 (Windows) ja 14.0.5735.133 (Linux, macOS) on parandatud lisaks teistele haavatavustele kriitiline turvanõrkus tähisega CVE-2023-3214. Haavatavus mõjutab Chrome’i lahendust, mida kasutatakse automaatseks makseandmete sisestamiseks. Ründajal tuleb turvanõrkuse ärakasutamiseks luua spetsiaalne HTMLi lehekülg.

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Uued turvanõrkused MOVEit tarkvaral

Kahe nädala eest kirjutasime, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning sinna ka tagauks. Praeguseks on maailmas üritatud laialdaselt antud nõrkust ka ära kasutada, ründeid on seni seostatud Clop-nimelise küberrühmitusega.

Nüüdseks on konkreetsel tarkvaral avastatud veel kaks turvanõrkust, mille abil on võimalik andmeid varastada. MOVEit tarkvara arendava ettevõtte sõnul uusi turvanõrkuseid kuritarvitatud veel ei ole (HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1). .6) ja 2023.0.2 (15.0.2) ning haavatavused tarkvara pilveversioonidele ohtu ei kujuta. Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

RIA analüüsi- ja ennetusosakond