Tag Archives: JavaScript

Olulised turvanõrkused 2022. aasta 48. nädalal

Lahtine tabalukk

Java raamistikus Quarkus avastati kriitiline turvaviga

Quarkus on avatud lähtekoodiga Java raamistik, mis on mõeldud Java virtuaalmasinate jaoks. Haavatavust CVE-2022-4116 on hinnatud kriitilisuse skooriga 9.8/10.0 ja selle abil on ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi masinas, milles jookseb Quarkuse Dev UI. Selleks peab ohver külastama veebilehte, mis sisaldab pahaloomulist JavaScripti koodi. Sellest tulenevalt võivad ründajad ühe ründevektorina saata Quarkust kasutavatele arendajatele veebilingi, millel klikkides suunatakse ohver pahaloomulist Javascripti sisaldavale veebilehele. Ründe tagajärjel on ründajal potentsiaalselt võimalik masinasse paigaldada muuhulgas näiteks nuhkvara, mis kasutaja(te) klahvivajutusi salvestab (SW, Quarkus).

Kes ja mida peaks tegema?

Selleks, et turvanõrkust ei oleks võimalik ära kasutada, tuleb arendajatel ja/või teenuseomanikel, kelle rakendused/teenused kasutavad Quarkuse raamistiku, veenduda, et kasutatakse Quarkuse versiooni 2.14.2 Final või 2.13.5 Final. Sellisel juhul haavatavus ohtu ei kujuta. Kui uuendamine ei ole võimalik, siis on Quarkus kirjutanud siin ka täpsemalt ühest alternatiivsest vastumeetmest, mida saab sellisel juhul kasutada.

Google paikas ühe Chrome’i nullpäeva turvanõrkuse

Google paikas Chrome’il selle aasta üheksanda nullpäeva turvanõrkuse, mille abil oli ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi ohvri masinas. CVE-2022-4262 jaoks on Google’i hinnangul olemas ka eksploit. Ettevõte ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (Google).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole lubatud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised, kuidas seda  teha, leiate siit.

NVIDIA paikas turvanõrkused videokaartide draiverites

Ettevõte paikas 29 turvanõrkust, mis olid seotud Windowsi ja Linuxi GPU draiveritega (BP, NVIDIA). Seitse turvanõrkust hinnati kõrge kriitilisuse tasemega. Kaks kõige kriitilisemat nõrkust on järgnevad:

CVE-2022-34669 (8.8/10.0) – Haavatavus võimaldab koodi kaugkäitust, õiguste suurendamist, informatsioonile ligipääsemist ja teenusekatkestusi. Turvanõrkust on võimalik lokaalselt kuritarvitada. CVE-2022-34669 võib pakkuda ründajatele viise, kuidas pahavara kõrgema taseme õigustes käivitada, sest üldjuhul kasutavad videokaardi draiverid operatsioonisüsteemis kõrgendatud õiguseid. Seetõttu võib see potentsiaalselt kujutada suurt ohtu mõjutatud süsteemidele.

CVE-2022-34671 (8.5/10.0) – Haavatavus võimaldab sooritada koodi kaugkäitust, üritada süsteemis õigusi suurendada õiguste, ligi pääseda informatsioonile, millele ei peaks ligi pääsema või viia süsteem olukorrani, kus see ei tööta. Turvanõrkust on võimalik ründajal kaugelt kuritarvitada. Haavatavuse kriitilisuse skoor on võrreldes CVE-2022-34669 turvaveaga hinnatud madalamaks, kuna seda on keerulisem edukalt ära kasutada.

Kes ja mida peaks tegema?

Kui te kasutate NVIDIA graafikakaarte, soovitame tutvuda ettevõtte veebilehega siin ja veenduda, et te ei ole turvanõrkuste vastu haavatav. Samalt veebilehelt leiate ka juhised, kuidas mõjutatud draiverid uuendada.

Turvanõrkus võimaldas avada mitmete autode uksi ja neid käivitada

Kübereksperdid avastasid SiriusXM-nimelisest tarkvarast turvanõrkuse, mille abil oli neil võimalik häkkida erinevate autotootjate mudeleid, mis vastavat tarkvara kasutasid. Täpsemalt leidsid nad, et turvanõrkuse abil oli neil võimalik erinevate autode puhul, mis olid toodetud peale 2015. aastat ja mis haavatavat tarkvara kasutasid, muuhulgas lukustada/avada uksi või käivitada auto, teades ainult auto VIN-koodi. Leid illustreerib seda, kuidas autode sõltuvus erinevatest tarkvaralahendustest võib muuta need üha ihaldusväärsemateks sihtmärkideks ründajatele. Turvanõrkus parandati tarkvaratootja sõnul kiiresti ja ühtegi reaalset intsidenti nende sõnul ei toimunud (BP).

RIA analüüsi- ja ennetusosakond

Pildil on kolme tarkvaraettevõte logod: Adobe Magento, Microsoft ja JavaScript

Olulised turvanõrkused 2022. aasta 41. nädalal

Eelmise nädala ülevaates kirjutasime, et Fortineti teenuseid FortiGate, FortiProxy ja FortiSwitchManager mõjutab CVE-2022-40684 kriitiline haavatavus.

Viimase abil saab ründaja autentimisest kõrvale hiilida ja seeläbi teostada erinevaid tegevusi teenuste administreerimisliideste kaudu. Kuna turvanõrkusest on avaldatud avalik kontseptsioonitõendus (POC) ja tootja kinnitas haavatavuse ärakasutamist, siis peavad toodete kasutajad uuendama mõjutatud esimesel võimalusel, et vältida võimalikku küberintsidenti!

Eelmise nädala ülevaade kirjeldas täpsemalt turvanõrkuse olemust koos mõjutatud toodete versioonidega, samuti on tutvustatud seda tootja enda kodulehel.

Magento tarkvaral tuvastati kriitiline turvanõrkus

Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida.

Haavatavus mõjutab neid Adobe toodete versioone:

ToodeVersioon
Adobe Commerce2.4.4-p1 ja varasemad; 2.4.5 ja varasemad
Magento2.4.4-p1 ja varasemad; 2.4.5 ja varasemad

Haavatavus parandati järgnevates Adobe toodete versioonides:

ToodeVersioon
Adobe Commerce2.4.5-p1 ja 2.4.4-p2
Magento2.4.5-p1 ja 2.4.4-p2

Kes ja mida peaks tegema?

Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.

Kriitiline turvaviga vm2 JavaScripti teegis

Haavatavus (CVE-2022-36067) võimaldab koodi kaugkäivitamist ja on hinnatud kõige kõrgema kriitilisuse tasemega (10.0/10.0). Vm2 on JavaScripti liivakasti (sandbox) teek, mida laaditakse iga kuu alla üle 16 miljoni korra. Turvaviga võimaldab suletud virtuaalsest keskkonnast (sandbox) välja pääseda ja käivitada ohvri seadmes pahaloomulisi käske. Turvanõrkus asub vm2 teegi Node.js funktsioonis, mis vastutab veaolukordade korrektse töötlemise eest. Viga paigati versioonis 3.9.11 (BP, SW, Oxeye).

Kes ja mida peaks tegema?

Tarkvaraarendajatel, kes kasutavad vm2 teeki enda arendusprojektides, tuleb kindlasti see uuendada kõige värskemale versioonile ja asendada vanade vm2 teekide kasutus esimesel võimalusel.

Erinevate virtualiseerimistarkvarade puhul, mis kasutavad vm2 teeki, tuleb jälgida, kas nendele tarkvaradele on uuendusi ja neid rakendada. Uuenduste avalikustamine võib võtta aega ja samuti on oht, et arendajad või toodete omanikud ei pruugi kohe taibata, et nende tarkvarad just vm2 teegist sõltuvad (sarnaselt Log4j turvanõrkusele eelmisel aastal). Seetõttu tuleb tooted ja/või teenused üle vaadata ja hinnata, kas antud kriitiline turvanõrkus teid puudutab.

Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga

Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):

  • 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
  • kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
  • 20 võimaldavad koodi kaugkäivitamist.
  • 11 võivad põhjustada andmeleket.
  • kaheksa on seotud teenuste katkestusega (denial of service).
  • nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).

Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.

CVE-2022-41033  turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.

Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.

Kes ja mida peaks tegema?

Microsofti toodete kasutajad peaksid uuenduste olemasolul need rakendama ja tutvuma ka uuenduste teisipäeva raames paigatud turvanõrkuste nimekirjaga siin.

Google avaldas turvauuendused Chrome’i veebilehitsejale

Google avaldas Chrome’i uue versiooni 106.0.5249.119 Windowsi, Linuxi ja Maci seadmetele, milles on parandatud kuus kõrge mõjuga turvanõrkust (SW, CR). Turvanõrkused on seotud Chrome’i erinevate tehniliste lahendustega. Soovitus on veebilehitseja kasutamise korral versioon uuendada. Juhised leiate siit.

RIA analüüsi- ja ennetusosakond