Tag Archives: KeePass

Olulised turvanõrkused 2023. aasta 23. nädalal

KeePassi uues versioonis on turvaviga paigatud

Mõned nädalad tagasi kirjutasime KeePassi turvaveast (CVE-2023-32784), mille abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna ehk master password. Kui kasutaja loob endale KeePassi konto, siis tuleb määrata parool, millega saab kõigile teistele salasõnadele ligi. Turvaveale avaldati ka kontseptsiooni tõendus (PoC). Eelmisel nädalal teavitas KeePass, et viga on parandatud versioonis 2.54 (BC, KeePass).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad mõnd KeePassi 2.x versiooni, on soovitatav tarkvara uuendada esimesel võimalusel. Uue versiooni saate alla laadida KeePassi kodulehelt.

KeePass 1.x, Strongbox või KeepassXC tarkvarade kasutajad ei ole veast mõjutatud.

Google paikas nullpäeva turvanõrkuse

Google Chrome’i uues versioonis 114.0.5735.110 (Windows) ja 114.0.5735.106 (Linux, Mac) on parandatud nullpäeva turvanõrkus tähisega CVE-2023-3079. Google’i sõnul on haavatavust rünnetes ära kasutatud, kuid täpsemat tehnilist infot turvavea kohta nad ei avaldanud.  Selline praktika on tavaline, et kaitsta neid kasutajaid, kes ei ole veel jõudnud tarkvara uuendada. Tegemist on kolmanda nullpäeva turvanõrkusega, mis sel aastal on Chrome’i brauseris leitud (BC, SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Androidi turvauuendus paikab Mali GPU draiveri turvavea

Google avaldas Androidi platvormi juunikuu turvauuendused, millega paigati kokku 56 haavatavust. Viis neist on hinnatud kriitiliseks ja üht on rünnetes ära kasutatud. Google’i sõnul on Mali GPU draiveri turvaviga tähisega CVE-2022-22706 kasutatud Samsungi telefonide vastu suunatud nuhkvarakampaanias. Turvaviga on hinnatud kõrge skooriga 7.8/10 ja see võimaldab ilma vajalike õigusteta kasutajal saada kirjutamisõigus lugemisõigusega lehtedele. Ühtlasi parandati viis kriitilise mõjuga turvaviga, millest kolm võimaldavad ründajal käivitada ohvri seadmes pahatahtlikku koodi. Turvauuendusi ei saa rakendada need, kes kasutavad Android 10 või vanemat versiooni (BC, SW, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks tegema tarkvarauuenduse esimesel võimalusel. Juhendi Androidi seadme uuendamiseks leiad siit.

Cisco paikas AnyConnecti turvavea, mis võimaldas ründajatel õigustega manipuleerida

Kõrge mõjuga turvaviga (CVE-2023-20178) mõjutab Cisco Secure Client tarkvara (varem nimetusega AnyConnect Secure Mobility Client) ja võimaldab ründajatel saada Windowsi süsteemikonto õigused. Haavatavuse põhjustab see, et uuendamise käigus loodud ajutisele kataloogile antakse valed õigused ja ründaja saab seetõttu installeerimise ajal teatud funktsioone kuritarvitada. Cisco Secure Client tarkvara kaudu saab luua kaugelt töötamiseks VPN-ühenduse. Viga on paigatud versioonides AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 (BC).

Kes ja mida peaks tegema?

Kõik AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 kasutajad peaks tarkvara uuendama.

Cisco sõnul ei mõjuta turvaviga Linuxi, MacOSi, Androidi ja iOSi operatsioonisüsteemide kasutajaid.

Gigabyte avaldas turvauuenduse emaplaatide tarkvarale

Taiwani tehnoloogiatootja Gigabyte avaldas tarkvarauuenduse, mis paikab haavatavuse mille kaudu on võimalik paigaldada pahavara. Haavatavus mõjutab enam kui 270 erinevat Gigabyte emaplaadi versiooni. Viga on parandatud Intel 400/500/600/700 ja AMD 400/500/600 seeriate emaplaatide tarkvaras (BC, Gigabyte).

Kes ja mida peaks tegema?

Ettevõte soovitab teha kõigil Gigabyte emaplaatide kasutajatel tarkvarauuendus esimesel võimalusel.

Fortinet paikas kriitilise turvanõrkuse Fortigate’i SSL-VPN seadmetes

Fortinet paikas kriitilise turvavea (CVE-2023-27997), mis võimaldab ründajal pahatahtlikku koodi kaugkäivitada. Turvanõrkus mõjutab Fortigate’i SSL-VPN seadmeid ja väidetavalt on seda võimalik ka siis kuritarvitada kui kaheastmeline autentimine on rakendatud. Hetkel teadaolevalt avaldatakse täpsem info vea kohta teisipäeval 13. juunil. Fortineti seadmed on maailmas ühed populaarseimad tulemüüri ja VPNi teenuste loomiseks, seetõttu on nende haavatavused ka head sihtmärgid. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5 (BC, HNS).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 20. nädalal

Apple parandas kolm nullpäeva turvanõrkust

Apple avalikustas 18. mail turvaparandused erinevatele tarkvaradele (iOS, macOS, tvOS, watchOS ja Safari), mis paikavad kolm nullpäeva turvanõrkust (CVE-2023-32409, CVE-2023-28204 ja CVE-2023-32373). Haavatavused on seotud WebKit-nimelise komponendiga. Turvanõrkuste abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või pääseda ligi tundlikele andmetele. Apple’i sõnul on vähemalt ühte turvanõrkust üritatud kaaktiivselt ära kasutada, kuid rohkem detaile ei ole ettevõte haavatavuste kohta jaganud (BC, SA, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS/iPadOS 16.5, Safari 16.5, tvOS 16.5, watchOS 9.5 ja macOS Ventura 13.4 versioonides.

Kui sinu Apple’i nutitelefon, tahvelarvuti, arvuti või muu nutiseade on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, tee seda esimesel võimalusel.

KeePassi mõjutava turvavea abil saab varastada paroolihalduri salasõna

KeePassi tarkvara mõjutava turvavea (CVE-2023-32784) abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna. Probleem on seotud tarkvara tekstikastiga, kuhu vastav salasõna sisestatakse. Siiski peab ründajal esmalt olema süsteemile ligipääs, et turvaviga kuritarvitada. Haavatavuse jaoks on avalikult kättesaadav kontseptsiooni tõendus (PoC) ning sellele ei ole hetkel olemas parandust (avalikustatakse suure tõenäosusega juulis). Haavatavus mõjutab KeePass 2.X versioone, KeepassXC pole veast mõjutatud (HNS).

Kes ja mida peaks tegema?

Kuna hetkel turvanõrkusele parandus puudub, soovitame järgida üldisi küberturvalisuse põhimõtteid (vt RIA kodulehelt). Kui turvaparandus eeldatavalt juulis avalikustatakse, uuendage KeePassi tarkvara esimesel võimalusel.

Chrome’i kriitiline turvanõrkus ohustab selle kasutajaid

Google avaldas uue Chrome’i versiooni 113.0.5672.126 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, millega paigati 12 turvaviga. Parandatud turvanõrkuste seas on üks kriitilise ja neli kõrge mõjuga haavatavust. Kriitiline turvanõrkus on tähisega CVE-2023-2721 ja selle kaudu on ründajal teoreetiliselt võimalik käivitada pahatahtlikku koodi või mõjutada süsteemi tavapärast tööd (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Samsungi nutitelefonide turvafunktsioonist on võimalik mööda pääseda

USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) hoiatab USA riiklikke asutusi turvanõrkuse eest, mille kaudu on võimalik Androidi turvafunktsioonist (ASLR ehk Android address space layout randomizationi) mööda pääseda. Turvafunktsiooni ülesandeks on määrata juhuslikult mäluaadressid, kus peamised rakendused ja OS-i komponendid seadme mällu laaditakse. See raskendab ründajatel mäluga seotud haavatavuste kuritarvitamist ja takistab erinevaid mälupõhised rünnakuid ellu viimast (nt puhvri ületäitumine) (BP, CISA).

Turvaviga (CVE-2023-21492) mõjutab Samsungi mobiilseadmeid, mis töötavad operatsioonisüsteemidega Android 11, 12 ja 13, ning selle põhjuseks on tundliku teabe sisestamine logifailidesse. Seda teavet saavad kõrgete õigustega ründajad kasutada ASLR-ist möödapääsemiseks. Kuigi Samsung ei ole öelnud, et seda turvanõrkust oleks ära kasutatud, kuritarvitatakse selliseid turvaauke sageli keeruliste sihitud rünnakute korraldamiseks.

Kes ja mida peaks tegema?

Kui teie Samsungi nutiseade pakub turvauuendusi, rakendage need esimesel võimalusel.


RIA analüüsi- ja ennetusosakond