Tag Archives: Firefox

Olulised turvanõrkused 2023. aasta 39. nädalal

  • Libwebp teegi turvanõrkus võib mõjutada miljoneid rakendusi

Kui algselt arvati, et turvaviga on seotud ainult Google Chrome’iga, siis nüüdseks on eksperdid arvamust muutnud. Turvanõrkust tuntakse tähisega CVE-2023-4863 ja see on hinnatud kõrgeima CVSS skooriga (10.0/10.0). Haavatavus mõjutab kõiki rakendusi, mis kasutavad WebP piltide töötlemiseks libwebp teeki. Seda teeki kasutavad näiteks mitmed populaarsed tarkvarad nagu Nginx, Python, Joomla, WordPress, Node.js jpt. Ründaja võib haavatavust ära kasutada spetsiaalselt loodud WebP-faili abil, mille kaudu saab käivitada pahaloomulist koodi. Haavatavad on libwebp versioonid 0.5.0 kuni 1.3.1, turvanõrkus on parandatud versioonis 1.3.2. Soovitame rakenduste sõltuvus sellest teegist üle vaadata ja vajadusel rakendada turvauuendus teegile ja/või rakendustele (HNS, SA).

  • Kriitilisele Sharepointi turvaveale avalikustati kontseptsiooni tõendus

Microsoft SharePoint Serveri kriitilisele turvanõrkusele avalikustati tehniline analüüs. See turvaviga, mida tähistatakse kui CVE-2023-29357, võimaldab autentimata ründajatel omandada administraatori õigusi ilma kasutajapoolse sekkumiseta. Microsoft parandas haavatavuse juba juunis. Turvanõrkuse paikamine on oluline, kuna antud haavatavust on potentsiaalselt võimalik kombineerida ühe teise turvaveaga, et käivitada pahaloomulist koodi haavatavas süsteemis. Turvanõrkus on eemaldatud SharePointi versioonis 16.0.10399.20005 või uuemates versioonides (BP, PS).

  • Kriitilised haavatavused Eximi tarkvaras ohustavad üle 250 000 meiliserveri maailmas

Tuhanded serverid, mis kasutavad Eximi tarkvara, on ohus kriitiliste haavatavuste tõttu, mis võivad kaasa tuua pahatahtliku koodi kaugkäivitamise. Kokku mõjutab tarkvara kuus haavatavust ja Exim on väljastanud turvapaigad kolmele turvanõrkusele. Kuna Eximi tarkvara kasutavad paljud serverid, on haavatavuste paikamise üsna oluline. Samuti on selle tarkvara nõrkuseid varem ära kasutanud riikliku toega küberrühmitused. Näiteks 2020. aastal kirjeldas USA riiklik julgeolekuagentur (NSA), kuidas küberrühmitus nimega Sandworm oli kuritarvitanud 2019. aastast pärit Eximi tarkvara haavatavust (CISA). Soovitame serverite administraatoritel rakendada  turvapaigad esimesel võimalusel, kuna ründajad võivad neid turvaauke ära kasutada (AT).

  • Firefoxile ja Thunderbirdile tulid turvauuendused

Mozilla on välja andnud Firefoxi ja Thunderbirdi turvavärskendused, mis kõrvaldavad kokku üheksa haavatavust. Enamik turvanõrkustest on seotud mäluga ja võivad põhjustada rakenduse töös probleeme või võimaldada ründajal käivitada suvalist koodi. Soovitame paigaldada uuendused esimesel võimalusel (Mozilla, SW).

  • Chrome’il paigati selle aasta viies nullpäeva turvanõrkus, mis mõjutab potentsiaalselt ka paljusid teisi tarkvarasid

Google avalikustas erakorralise turvavärskenduse, et parandada viies Chrome’i nullpäeva haavatavus (CVE-2023-5217) sel aastal. See võib põhjustada rakenduse töös probleeme või viia suvalise koodi käivitumiseni. Väidetavalt on seda varem juba kuritarvitatud nuhkvara paigaldamiseks. Turvanõrkus on kõrvaldatud Google Chrome’i versioonis 117.0.5938.132, mis on saadaval Windowsi, macOSi ja Linuxi operatsioonisüsteemidele (AT).

Chrome’is avastatud kriitiline nullpäeva haavatavus on tekitanud muret, kuna see ei mõjuta mitte ainult Chrome’i, vaid ka paljusid teisi rakendusi, sh Firefoxi. Turvanõrkus peitub libvpx teegis ja seega võib potentsiaalne mõjuulatus olla väga lai, kuna teeki kasutab enamik sirvikuid, samuti Skype, Adobe, VLC ja Android.  Siiski on veel ebaselge, kui paljud tarkvarad on otseselt nõrkusest mõjutatud (AT).

  • Cisco haldustarkvara mõjutab viis turvanõrkust

Cisco on väljastanud hoiatuse viie haavatavuse kohta, mis mõjutavad Catalyst SD-WAN Manageri tarkvara. Kõige olulisem viga võimaldab haavatavale serverile saada autentimata kaugjuurdepääsu. SD-WAN Manageri kasutatakse võrgu haldamiseks. Kõige tõsisem haavatavus on CVE-2023-20252, mille CVSS-i skoor on 9,8. Ründajad saavad seda viga ära kasutada, saates SAML-i API-dele spetsiaalselt koostatud päringuid. Turvanõrkust saab ära kasutada volitamata juurdepääsu saamiseks andmetele, andmete muutmiseks või nende kustutamiseks (BP, Cisco).

Haavatavused mõjutavad Cisco Catalyst SD-WAN Manageri erinevaid versioone. Ettevõte soovitab minna üle paigatud versioonidele esimesel võimalusel, kuna alternatiivseid kaitsemeetmeid hetkel ei ole. IOS XE tarkvara, SD-WAN cEdge ja SD-WAN vEdge ruuterid ei ole turvavigade suhtes haavatavad (BP, Cisco).

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähisTootjaMõjutatud toodeMõju
CVE-2018-13379FortinetFortiOS ja FortiProxySSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell)MicrosoftExchangeKoodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell)MicrosoftExchangeKaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell)MicrosoftExchangeÕiguste suurendamine
CVE-2021-40539ZohoADSelfService PlusKoodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084AtlassianConfluenceKoodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell)ApacheLog4j2Koodi kaugkäivitamise võimalus
CVE-2022-22954VMwareWorkspace ONEKoodi kaugkäivitamise võimalus
CVE-2022-22960VMwareWorkspace ONEÕiguste suurendmine
CVE-2022-1388F5 NetworksBIG-IPAutentimisest möödapääsemine
CVE-2022-30190MicrosoftMitmed erinevad tootedKoodi kaugkäivitamise võimalus
CVE-2022-26134AtlassianConfluenceKoodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.

Olulised turvanõrkused 2023. aasta 11. nädalal

Microsoft Outlooki kriitiline turvanõrkus kujutab suurt ohtu

14. märtsi õhtul avalikustas Microsoft, et on lisaks muudele nõrkustele paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused üritanud juba seda haavatavust kuritarvitada (Microsoft).

Lisaks Outlooki mõjutavale kriitilisele turvanõrkusele paigati veel 82 turvaviga, millest kaheksa on hinnatud kriitiliseks. Ülevaate kõikidest parandatud turvavigadest leiate siit.

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus ei mõjuta Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed

•             Haavatava tarkvara kasutamise korral tuleb esimesel võimalusel Microsofti viimased turvauuendused rakendada. Soovitame kindlasti tutvuda tootja veebilehega https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397, kus on välja toodud mõjutatud tarkvarad koos turvauuenduste allalaadimiseks mõeldud veebilinkidega.

•             Microsoft pakub organisatsioonidele skripti, mida saab kasutada, et tuvastada, kas neid on üritatud turvanõrkuse abil rünnata. Skripti koos dokumentatsiooniga leiate  https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

•             Veebilehel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 on välja toodud ka alternatiivsed kaitsemeetmed, mida on võimalik vajadusel kasutada.

Exynos kiibistike turvanõrkused mõjutavad mitmeid seadmeid

Kokku avastati 18 nullpäeva turvanõrkust, mis on kõrge kriitilisuse tasemega. Turvanõrkused on murettekitavad, kuna Exynos kiibistikke kasutavad paljud erinevad seadmed. Nimekirja mõjutatud Exynos kiibistikest leiate siit. Kõige tõsisemal juhul on ründajal võimalik kiibistikku kasutav seade kompromiteerida, teades vaid ohvri telefoninumbrit (Google).

Kes ja mida peaks tegema?

Mõjutatud kiibistike põhjal on tehtud nimekiri seadmetest, mis võivad olla turvanõrkuste vastu haavatavad. Nimekiri ei pruugi sisaldada kõiki seadmeid, mis on turvanõrkustest mõjutatud. Mõjutatud on näiteks:

  • teatud Samsungi mobiiltelefonid, näiteks seeriatest S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04;
  • teatud Vivo mobiiltelefonid, näiteks seeriatest S16, S15, S6, X70, X60 ja X30;
  • Google Pixel 6. ja 7. seeria telefonid;
  • kõik autod, millel on Exynos Auto T5123 kiibistik (kasutatakse 5G ühenduse loomisel).

Seni, kuni turvauuendused ei ole saadaval (saadavus varieerub tootjate lõikes, Pixeli seadmetele on uuendused olemas), soovitab Google enda ülevaates neil kasutajatel, kes soovivad end siiski kaitsta nende koodi kaugkäitamist võimaldavate haavatavuste eest, seadetes WiFi- ja VoLTE-kõnede funktsionaalsus välja lülitada (Google).

SAPi toodetel paigati viis kriitilist turvanõrkust

SAPi toodetel paigati 19 turvaviga, mille hulgas oli viis turvanõrkust, mis on hinnatud kriitiliseks. Kriitilised turvavead mõjutavad SAPi tarkvarasid nimetustega SAP Business Objects Business Intelligence Platform (CMC) ja SAP NetWeaver. Kriitilised vead võimaldavad erinevaid toiminguid failidega – nt süsteemifailide üle kirjutamist, ligipääsu piiratud ressurssidele, kuid ka pahaloomuliste käskude käivitamist. Nimekirja parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

SAPi toodete turvavead võivad olla ohuks paljudele organisatsioonidele, kuna neid kasutatakse maailmas laialdaselt ja need võivad olla heaks sisenemispunktiks teistesse süsteemidesse. Kõigil, kes mõjutatud tooteid kasutavad, tuleks uuendused rakendada esimesel võimalusel (SAP).

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Mozilla Firefoxi versioonis 111 on parandatud 13 turvaviga, nende hulgas seitse kõrge mõjuga haavatavust. Kõrge mõjuga vead võivad kaasa tuua teabe avalikustamise ja pahatahtliku koodi käivitamise. Mõned neist vigadest mõjutavad vaid Androidile mõeldud Firefoxi rakendust (SW, Mozilla).

Kes ja mida peaks tegema?

Firefoxi kasutajatel soovitame veebilehitseja uue versiooni kindlasti enda seadmele paigaldada. Juhised, kuidas Firefoxi uuendada, leiate siit.

Adobe avalikustas turvavärskendused mitmetele toodetele

Kokku parandati kaheksa turvauuendusega 105 haavatavust. Parandatud haavatavuste seas oli ka kaks kriitilist turvanõrkust CVE-2023-26360 ja CVE-2023-26359 ja mõlemad mõjutavad Adobe ColdFusion tarkvara. Mõlema turvanõrkuse abil on ründajal võimalik käivitada haavatavas süsteemis pahaloomulist koodi (SA).

Kes ja mida peaks tegema?

Soovitame tutvuda, millistele Adobe toodetele turvauuendused väljastati ja need vajadusel rakendada. Nimekirja uuendustest leiate siit.

RIA analüüsi- ja ennetusosakond