Tag Archives: iPadOS

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 7. nädalal

Apple paikas uuendustega nullpäeva turvanõrkuse

Apple avalikustas 13. veebruaril iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad ühe nullpäeva turvanõrkuse tähisega CVE-2023-23529. Haavatavus on seotud WebKit-nimelise komponendiga ja seda on ründajal võimalik ära kasutada, kui ta meelitab ohvri külastama spetsiaalselt selleks loodud veebilehte. Selle abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkust CVE-2023-23529 aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Lisaks paigati uuendustega ka turvanõrkus tähisega CVE-2023-23514. Kui kasutaja laeb alla pahaloomulise rakenduse, mis seda haavatavust oskab ära kasutada, on rakenduse haldajal teoreetiliselt võimalik käivitada haavatavas seadmes pahaloomulist koodi kerneli õigustes. See tähendab, et pahaloomulise koodi abil on ründajal teoreetiliselt võimalik seadmele anda mistahes käsklusi ja ligi pääseda mistahes andmetele (Apple).  

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.3.1, iPadOS 16.3.1 ja macOS Ventura 13.2.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid nullpäeva turvanõrkuse CVE-2023-23529 eest kaitsta, kui nad uuendavad Safari veebilehitseja versioonile 16.3.1 (Apple).

iOS 16.3.1 või iPadOS 16.3.1 on rakendatavad järgmistele mudelitele:

  • iPhone 8 ja uuemad;
  • iPad Pro (kõik mudelid);
  • iPad Air 3 ja uuemad;
  • iPadi viies generatsioon ja uuemad;
  • iPad mini 5 ja uuemad;

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kuttume kõiki üles suhtuma uuendustesse tõsiselt ning neid alati seadmetes rakendama.

Apple’i macOS Ventura kohta käiv teavitus – https://support.apple.com/en-us/HT213633

Apple’i iOSi ja iPadOSi kohta käiv teavitus – https://support.apple.com/en-us/HT213635

Microsoft parandas igakuise uuenduste teisipäeva raames 77 turvaviga

Parandatud turvavigade seas oli muuhulgas kolm nullpäeva turvanõrkust ja üheksa kriitilist haavatavust. Kriitiliseks märgiti nõrkused seetõttu, et võimaldavad koodi kaugkäitust mõjutatud seadmetes. Nullpäeva turvanõrkuseks loeb Microsoft vigu, mis avaldati või mida aktiivselt ära kasutatakse enne, kui selle vastu oli olemas ametlik parandus (BP).

Nullpäeva turvanõrkuseid oli kokku kolm – CVE-2023-21823, CVE-2023-21715, CVE-2023-23376.

CVE-2023-21823 mõjutab üht Windowsi operatsioonisüsteemi komponenti ning ründajatel on võimalik selle abil pahaloomulisi käsklusi käivitada süsteemiõigustes. Uuendus edastatakse kasutajatele Microsoft Store’i mitte Windows Update’i kaudu. Seetõttu peavad need inimesed, kellel ei ole automaatne uuendamine Microsoft Store’is lubatud, uuenduse käsitsi rakendama.

CVE-2023-21715 peitub Microsoft Publisheris ja selle abil on ründajal võimalik Office’i makrodega seotud kaitsemeetmetest mööda pääseda, mis blokeerivad ebusaldusväärseid või pahatahtlikke faile. Teisisõnu ei küsi süsteem kasutajalt üle, kas ta soovib makrod käivitada, vaid need käivitatakse automaatselt pärast seda, kui kasutaja avab pahaloomulise Publisheri dokumendi.

CVE-2023-23376 võimaldab ründajal omandada süsteemiõigused.

Ülevaate kõikidest parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

Kui kasutate mõjutatud tarkvarasid, rakendage uuenduste olemasolul need esimesel võimalusel.

Fortinet paikas enda toodetel 40 turvaviga

40st turveast kaks on hinnatud kriitiliseks, 15 kõrge tõsidusastmega, 22 keskmise tõsidusastmega ja üks madala tõsidusastmega. Kõige kriitilisemalt hinnatakse turvanõrkust CVE-2022-39952 (9.8/10.0), mis mõjutab FortiNACi veebiservereid ja mille abil on ründajal võimalik end autentimata mõjutatud süsteemis pahaloomulist koodi käivitada (HN).

Selle turvanõrkuse vastu on haavatavad on järgnevad FortiNACi versioonid (Fortinet):

FortiNACi versioin 9.4.0;

FortiNACi versioon 9.2.0 kuni 9.2.5;

FortiNACi versioon 9.1.0 kuni 9.1.7;

Kõik FortiNACi 8.8 versioonid;

Kõik FortiNACi 8.7 versioonid;

Kõik FortiNACi 8.6 versioonid;

Kõik FortiNACi 8.5 versioonid;

Kõik FortiNACi 8.3 versioonid;

Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.

Teine parandatud kriitiline turvanõrkus CVE-2021-42756 (9.3/10.0) on seotud FortiWebiga ja selle abil on ründajal võimalik vastavate HTTP päringute abil mõjutatud süsteemis pahatahtlikku koodi käivitada (Fortinet).

Turvanõrkus mõjutab järgnevaid FortiWebi versioone:

Kõik FortiWebi versioonid 5.x;

FortiWebi versioonid 6.0.7 ja varasemad;

FortiWebi versioonid 6.1.2 ja varasemad;

FortiWebi versioonid 6.2.6 ja varasemad;

FortiWeb versioonid 6.3.16 ja varasemad;

Kõik FortiWebi versioonid 6.4;

Turvaviga on parandatud versioonides 7.0.0, 6.3.17, 6.2.7, 6.1.3 ja 6.0.8.

Kes ja mida peaks tegema?

Haavatavate tarkvarade kasutamise korral uuendage need kõige uuematele versioonidele.

Cisco parandas ClamAV-l koodi kaugkäitust võimaldava turvavea

Kriitilise turvanõrkuse CVE-2023-20032 (9.8/10.0) abil on ründajal võimalik teostada tarkvarale antud õigustes koodi kaugkäitust või peatada haavatava süsteemi töö täielikult. Turvaviga mõjutab ClamAV versioone 1.0.0 ja varasemaid, 0.105.1 ja varasemaid ning 0.103.7 ja varasemaid. Ettevõtte hinnangul ei ole neile siiski teada, et nõrkust oleks seni jõutud ära kasutada (SA).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab järgnevaid tooteid:

ToodeTurvanõrkus on parandatud versioonides
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Linux1.20.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints MacOS1.21.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Windows7.5.9, 8.1.5
Secure Endpoint Private Cloud3.6.0 või uuem
Secure Web Appliance, formerly Web Security Appliance14.0.4-005, 15.0.0-254

Kui kasutate haavatavate versioonidega tooteid, uuendage need esimesel võimalusel.

RIA analüüsi- ja ennetusosakond