Tag Archives: Mozilla

Olulised turvanõrkused 2023. aasta 11. nädalal

Microsoft Outlooki kriitiline turvanõrkus kujutab suurt ohtu

14. märtsi õhtul avalikustas Microsoft, et on lisaks muudele nõrkustele paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused üritanud juba seda haavatavust kuritarvitada (Microsoft).

Lisaks Outlooki mõjutavale kriitilisele turvanõrkusele paigati veel 82 turvaviga, millest kaheksa on hinnatud kriitiliseks. Ülevaate kõikidest parandatud turvavigadest leiate siit.

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus ei mõjuta Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed

•             Haavatava tarkvara kasutamise korral tuleb esimesel võimalusel Microsofti viimased turvauuendused rakendada. Soovitame kindlasti tutvuda tootja veebilehega https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397, kus on välja toodud mõjutatud tarkvarad koos turvauuenduste allalaadimiseks mõeldud veebilinkidega.

•             Microsoft pakub organisatsioonidele skripti, mida saab kasutada, et tuvastada, kas neid on üritatud turvanõrkuse abil rünnata. Skripti koos dokumentatsiooniga leiate  https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

•             Veebilehel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 on välja toodud ka alternatiivsed kaitsemeetmed, mida on võimalik vajadusel kasutada.

Exynos kiibistike turvanõrkused mõjutavad mitmeid seadmeid

Kokku avastati 18 nullpäeva turvanõrkust, mis on kõrge kriitilisuse tasemega. Turvanõrkused on murettekitavad, kuna Exynos kiibistikke kasutavad paljud erinevad seadmed. Nimekirja mõjutatud Exynos kiibistikest leiate siit. Kõige tõsisemal juhul on ründajal võimalik kiibistikku kasutav seade kompromiteerida, teades vaid ohvri telefoninumbrit (Google).

Kes ja mida peaks tegema?

Mõjutatud kiibistike põhjal on tehtud nimekiri seadmetest, mis võivad olla turvanõrkuste vastu haavatavad. Nimekiri ei pruugi sisaldada kõiki seadmeid, mis on turvanõrkustest mõjutatud. Mõjutatud on näiteks:

  • teatud Samsungi mobiiltelefonid, näiteks seeriatest S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04;
  • teatud Vivo mobiiltelefonid, näiteks seeriatest S16, S15, S6, X70, X60 ja X30;
  • Google Pixel 6. ja 7. seeria telefonid;
  • kõik autod, millel on Exynos Auto T5123 kiibistik (kasutatakse 5G ühenduse loomisel).

Seni, kuni turvauuendused ei ole saadaval (saadavus varieerub tootjate lõikes, Pixeli seadmetele on uuendused olemas), soovitab Google enda ülevaates neil kasutajatel, kes soovivad end siiski kaitsta nende koodi kaugkäitamist võimaldavate haavatavuste eest, seadetes WiFi- ja VoLTE-kõnede funktsionaalsus välja lülitada (Google).

SAPi toodetel paigati viis kriitilist turvanõrkust

SAPi toodetel paigati 19 turvaviga, mille hulgas oli viis turvanõrkust, mis on hinnatud kriitiliseks. Kriitilised turvavead mõjutavad SAPi tarkvarasid nimetustega SAP Business Objects Business Intelligence Platform (CMC) ja SAP NetWeaver. Kriitilised vead võimaldavad erinevaid toiminguid failidega – nt süsteemifailide üle kirjutamist, ligipääsu piiratud ressurssidele, kuid ka pahaloomuliste käskude käivitamist. Nimekirja parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

SAPi toodete turvavead võivad olla ohuks paljudele organisatsioonidele, kuna neid kasutatakse maailmas laialdaselt ja need võivad olla heaks sisenemispunktiks teistesse süsteemidesse. Kõigil, kes mõjutatud tooteid kasutavad, tuleks uuendused rakendada esimesel võimalusel (SAP).

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Mozilla Firefoxi versioonis 111 on parandatud 13 turvaviga, nende hulgas seitse kõrge mõjuga haavatavust. Kõrge mõjuga vead võivad kaasa tuua teabe avalikustamise ja pahatahtliku koodi käivitamise. Mõned neist vigadest mõjutavad vaid Androidile mõeldud Firefoxi rakendust (SW, Mozilla).

Kes ja mida peaks tegema?

Firefoxi kasutajatel soovitame veebilehitseja uue versiooni kindlasti enda seadmele paigaldada. Juhised, kuidas Firefoxi uuendada, leiate siit.

Adobe avalikustas turvavärskendused mitmetele toodetele

Kokku parandati kaheksa turvauuendusega 105 haavatavust. Parandatud haavatavuste seas oli ka kaks kriitilist turvanõrkust CVE-2023-26360 ja CVE-2023-26359 ja mõlemad mõjutavad Adobe ColdFusion tarkvara. Mõlema turvanõrkuse abil on ründajal võimalik käivitada haavatavas süsteemis pahaloomulist koodi (SA).

Kes ja mida peaks tegema?

Soovitame tutvuda, millistele Adobe toodetele turvauuendused väljastati ja need vajadusel rakendada. Nimekirja uuendustest leiate siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 50. nädalal

Fortinet paikas FortiOSi SSL-VPNi turvanõrkuse

Fortinet teavitas, et paikas FortiOSi SSL-VPNi turvanõrkuse. Turvaviga on hinnatud kriitiliseks skooriga 9.3/10.0 ja tähistatakse CVE-2022-42475. Turvaviga võimaldab autentimata ründajal pahatahtlikku koodi kaugkäivitada. Kuna FortiOSi tarkvara kasutatakse maailmas laialdaselt, siis pakuvad need haavatavused ka küberkurjategijatele huvi ja neid kasutatakse tihti rünnete läbiviimiseks. Ettevõtte kinnitusel on ka turvaviga CVE-2022-42475 rünnetes ära kasutatud (SA, BP, Fortinet).  

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-42475 FortiOSi versioone 7.2.0 kuni 7.2.2, 7.0.0 kuni 7.0.8, 6.4.0 kuni 6.4.10, 6.2.0 kuni 6.2.11 ning FortiOS-6K7K versioone 7.0.0 kuni 7.0.7, 6.4.0 kuni 6.4.9, 6.2.0 kuni 6.2.11 ja 6.0.0 kuni 6.0.14

Haavatavus on parandatud FortiOSi tarkvara versioonides 7.2.3, 7.0.9, 6.4.11, 6.2.12 ja 6.0.16. Soovitame FortiOS tarkvara uuendada esimesel võimalusel.

Apple paikas Webkiti nullpäeva turvanõrkuse

Apple paikas selle aasta kümnenda nullpäeva turvanõrkuse (CVE-2022-42856), mida on kasutatud iPhone’ide vastu suunatud rünnetes. Viga mõjutab Apple Webkiti veebibrauseri mootorit ja võib kaasa tuua pahatahtliku koodi käivitamise, kui kasutaja avab ründaja loodud veebilehe. Apple Webkiti funktsionaalisust kasutavad kõik kolmandate osapoolte veebilehitsejad, nende hulgas Google Chrome, Mozilla Firefox ja Microsoft Edge (BP, HN, SW).

Kes ja mida peaks tegema?

Ettevõtte sõnul mõjutab turvanõrkus kõiki järgnevaid Apple’i seadmeid: iPhone 6s , iPhone 7, iPhone SE, iPad Pro, iPad Air 2 ja uuemad, iPad viies generatsioon ja uuemad, iPad mini 4 ja uuemad ning iPod touch (seitsmes generatsioon). Kui Sa kasutad mõnd veebilehitsejat Apple’i seadmes, siis oled juba potsentsiaalselt ohus.

Kõik nende seadmete kasutajad peaks iOS tarkvara uuendama. Turvaviga on parandatud tarkvara versioonides iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 ja macOS Ventura 13.1. Täpsema Apple’i turvauuenduste infot leiab siit.

Microsoft paikas kaks nullpäeva turvanõrkust ja 49 haavatavust

Parandatud vigadest kuus on hinnatud kriitiliseks, kuna need võimaldavad koodi kaugkäivitamist. Parandati kaks nullpäeva turvanõrkust (CVE-2022-44698 ja CVE-2022-44710), millest ühte (CVE-2022-44698)  on juba rünnetes ära kasutatud. Turvanõrkust (CVE-2022-44698) on hinnatud keskmise skooriga 5.4/10 (BP).

Kes ja mida peaks tegema?

Kõik Microsofti toodete kasutajad peaks üle kontrollima, kas mõni neil kasutusel olev tarkvara sai turvapaiga ja esimesel võimalusel tarkvara uuendama.

Turvaviga (CVE-2022-44698) mõjutab Microsofti tarkvarasid Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2022 Datacenter Azure Edition.

Turvaiga (CVE-2022-44710) mõjutab Microsofti tarkvara Windows 11.

Mitmed turvauuendused avaldati veebilehitsejale Microsoft Edge.

Täielikku raportit parandatud vigadest näeb siin.

Mozilla parandas turvanõrkused Firefoxi veebilehitsejas ja meiliprogrammis Thunderbird

Vead on paigatud Firefoxi versioonis 108, Firefox ESR versioonis 102.6 ja Thunderbirdi versioonis 102.6. Mitmed paigatud haavatavused võimaldavad ründajal saada ligipääs komporomiteeritud süsteemidele ja seetõttu on need hinnatud kõrge mõjuga turvavigadeks (Mozilla, CISA).

Kes ja mida peaks tegema?

Mozilla tarkvarade Firefox, Firefox ESR ja Thunderbird kasutajad peaks turvapaigad rakendama esimesel võimalusel.

Adobe paikas 38 turvanõrkust

Adobe parandas 38 turvanõrkust, mõned neist võimaldavad ründajal koodi käivitada ja õigustega manipuleerida (SW).

Kes ja mida peaks tegema?

Turvavead mõjutavad Adobe Experience Manager (AEM), Adobe Campaign Classic (ACC) ja Illustrator tarkvarasid. Nende tarkvarade kasutajad peaks uuendused paigaldama esimesel võimalusel.

Samba paikas mitu kriitilist turvanõrkust

Samba tarkvaras parandati neli turvanõrkust, mis võimaldavad ründajal saada nakatunud süsteemid enda kontrolli alla. Kõrge mõjuga haavatavused (CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ja CVE-2022-45141) on parandatud Samba versioonides 4.17.4, 4.16.8 ja 4.15.13 (HN, SA).

Turvaviga CVE-2022-38023 (8.1/10.0) võimaldab kasutada nõrka RC4-HMAC Kerberose krüpteerimise tüüpi.

Turvaviga CVE-2022-37966 (8.1/10.0) võimaldab Windows Kerberose RC4-HMAC õigustega manipuleerida.

Turvaviga CVE-2022-37967 (7.2/10.0) võimaldab Windows Kerberose õigustega manipuleerida.

Turvavea CVE-2022-45141 (8.1/10.0) võimaldab Samba AD (active directory) domeenikontrolleril kasutada nõrka RC4-HMAC krüpteeringut.

Kes ja mida peaks tegema?

Kõik Samba tarkvara kasutajad peaksid tarkvara uuendama versioonidele 4.17.4, 4.16.8 ja 4.15.13, mis avalikustati 15. detsembril. Täpsem info ja tarkvara uuendused on Samba kodulehel.

RIA analüüsi- ja ennetusosakond

mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond