Tag Archives: Mozilla

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähis Tootja Mõjutatud toode Mõju
CVE-2018-13379 Fortinet FortiOS ja FortiProxy SSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell) Microsoft Exchange Koodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell) Microsoft Exchange Kaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell) Microsoft Exchange Õiguste suurendamine
CVE-2021-40539 Zoho ADSelfService Plus Koodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084 Atlassian Confluence Koodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell) Apache Log4j2 Koodi kaugkäivitamise võimalus
CVE-2022-22954 VMware Workspace ONE Koodi kaugkäivitamise võimalus
CVE-2022-22960 VMware Workspace ONE Õiguste suurendmine
CVE-2022-1388 F5 Networks BIG-IP Autentimisest möödapääsemine
CVE-2022-30190 Microsoft Mitmed erinevad tooted Koodi kaugkäivitamise võimalus
CVE-2022-26134 Atlassian Confluence Koodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.

Olulised turvanõrkused 2023. aasta 11. nädalal

Microsoft Outlooki kriitiline turvanõrkus kujutab suurt ohtu

14. märtsi õhtul avalikustas Microsoft, et on lisaks muudele nõrkustele paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused üritanud juba seda haavatavust kuritarvitada (Microsoft).

Lisaks Outlooki mõjutavale kriitilisele turvanõrkusele paigati veel 82 turvaviga, millest kaheksa on hinnatud kriitiliseks. Ülevaate kõikidest parandatud turvavigadest leiate siit.

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus ei mõjuta Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed

•             Haavatava tarkvara kasutamise korral tuleb esimesel võimalusel Microsofti viimased turvauuendused rakendada. Soovitame kindlasti tutvuda tootja veebilehega https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397, kus on välja toodud mõjutatud tarkvarad koos turvauuenduste allalaadimiseks mõeldud veebilinkidega.

•             Microsoft pakub organisatsioonidele skripti, mida saab kasutada, et tuvastada, kas neid on üritatud turvanõrkuse abil rünnata. Skripti koos dokumentatsiooniga leiate  https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

•             Veebilehel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 on välja toodud ka alternatiivsed kaitsemeetmed, mida on võimalik vajadusel kasutada.

Exynos kiibistike turvanõrkused mõjutavad mitmeid seadmeid

Kokku avastati 18 nullpäeva turvanõrkust, mis on kõrge kriitilisuse tasemega. Turvanõrkused on murettekitavad, kuna Exynos kiibistikke kasutavad paljud erinevad seadmed. Nimekirja mõjutatud Exynos kiibistikest leiate siit. Kõige tõsisemal juhul on ründajal võimalik kiibistikku kasutav seade kompromiteerida, teades vaid ohvri telefoninumbrit (Google).

Kes ja mida peaks tegema?

Mõjutatud kiibistike põhjal on tehtud nimekiri seadmetest, mis võivad olla turvanõrkuste vastu haavatavad. Nimekiri ei pruugi sisaldada kõiki seadmeid, mis on turvanõrkustest mõjutatud. Mõjutatud on näiteks:

  • teatud Samsungi mobiiltelefonid, näiteks seeriatest S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04;
  • teatud Vivo mobiiltelefonid, näiteks seeriatest S16, S15, S6, X70, X60 ja X30;
  • Google Pixel 6. ja 7. seeria telefonid;
  • kõik autod, millel on Exynos Auto T5123 kiibistik (kasutatakse 5G ühenduse loomisel).

Seni, kuni turvauuendused ei ole saadaval (saadavus varieerub tootjate lõikes, Pixeli seadmetele on uuendused olemas), soovitab Google enda ülevaates neil kasutajatel, kes soovivad end siiski kaitsta nende koodi kaugkäitamist võimaldavate haavatavuste eest, seadetes WiFi- ja VoLTE-kõnede funktsionaalsus välja lülitada (Google).

SAPi toodetel paigati viis kriitilist turvanõrkust

SAPi toodetel paigati 19 turvaviga, mille hulgas oli viis turvanõrkust, mis on hinnatud kriitiliseks. Kriitilised turvavead mõjutavad SAPi tarkvarasid nimetustega SAP Business Objects Business Intelligence Platform (CMC) ja SAP NetWeaver. Kriitilised vead võimaldavad erinevaid toiminguid failidega – nt süsteemifailide üle kirjutamist, ligipääsu piiratud ressurssidele, kuid ka pahaloomuliste käskude käivitamist. Nimekirja parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

SAPi toodete turvavead võivad olla ohuks paljudele organisatsioonidele, kuna neid kasutatakse maailmas laialdaselt ja need võivad olla heaks sisenemispunktiks teistesse süsteemidesse. Kõigil, kes mõjutatud tooteid kasutavad, tuleks uuendused rakendada esimesel võimalusel (SAP).

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Mozilla Firefoxi versioonis 111 on parandatud 13 turvaviga, nende hulgas seitse kõrge mõjuga haavatavust. Kõrge mõjuga vead võivad kaasa tuua teabe avalikustamise ja pahatahtliku koodi käivitamise. Mõned neist vigadest mõjutavad vaid Androidile mõeldud Firefoxi rakendust (SW, Mozilla).

Kes ja mida peaks tegema?

Firefoxi kasutajatel soovitame veebilehitseja uue versiooni kindlasti enda seadmele paigaldada. Juhised, kuidas Firefoxi uuendada, leiate siit.

Adobe avalikustas turvavärskendused mitmetele toodetele

Kokku parandati kaheksa turvauuendusega 105 haavatavust. Parandatud haavatavuste seas oli ka kaks kriitilist turvanõrkust CVE-2023-26360 ja CVE-2023-26359 ja mõlemad mõjutavad Adobe ColdFusion tarkvara. Mõlema turvanõrkuse abil on ründajal võimalik käivitada haavatavas süsteemis pahaloomulist koodi (SA).

Kes ja mida peaks tegema?

Soovitame tutvuda, millistele Adobe toodetele turvauuendused väljastati ja need vajadusel rakendada. Nimekirja uuendustest leiate siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 50. nädalal

Fortinet paikas FortiOSi SSL-VPNi turvanõrkuse

Fortinet teavitas, et paikas FortiOSi SSL-VPNi turvanõrkuse. Turvaviga on hinnatud kriitiliseks skooriga 9.3/10.0 ja tähistatakse CVE-2022-42475. Turvaviga võimaldab autentimata ründajal pahatahtlikku koodi kaugkäivitada. Kuna FortiOSi tarkvara kasutatakse maailmas laialdaselt, siis pakuvad need haavatavused ka küberkurjategijatele huvi ja neid kasutatakse tihti rünnete läbiviimiseks. Ettevõtte kinnitusel on ka turvaviga CVE-2022-42475 rünnetes ära kasutatud (SA, BP, Fortinet).  

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-42475 FortiOSi versioone 7.2.0 kuni 7.2.2, 7.0.0 kuni 7.0.8, 6.4.0 kuni 6.4.10, 6.2.0 kuni 6.2.11 ning FortiOS-6K7K versioone 7.0.0 kuni 7.0.7, 6.4.0 kuni 6.4.9, 6.2.0 kuni 6.2.11 ja 6.0.0 kuni 6.0.14

Haavatavus on parandatud FortiOSi tarkvara versioonides 7.2.3, 7.0.9, 6.4.11, 6.2.12 ja 6.0.16. Soovitame FortiOS tarkvara uuendada esimesel võimalusel.

Apple paikas Webkiti nullpäeva turvanõrkuse

Apple paikas selle aasta kümnenda nullpäeva turvanõrkuse (CVE-2022-42856), mida on kasutatud iPhone’ide vastu suunatud rünnetes. Viga mõjutab Apple Webkiti veebibrauseri mootorit ja võib kaasa tuua pahatahtliku koodi käivitamise, kui kasutaja avab ründaja loodud veebilehe. Apple Webkiti funktsionaalisust kasutavad kõik kolmandate osapoolte veebilehitsejad, nende hulgas Google Chrome, Mozilla Firefox ja Microsoft Edge (BP, HN, SW).

Kes ja mida peaks tegema?

Ettevõtte sõnul mõjutab turvanõrkus kõiki järgnevaid Apple’i seadmeid: iPhone 6s , iPhone 7, iPhone SE, iPad Pro, iPad Air 2 ja uuemad, iPad viies generatsioon ja uuemad, iPad mini 4 ja uuemad ning iPod touch (seitsmes generatsioon). Kui Sa kasutad mõnd veebilehitsejat Apple’i seadmes, siis oled juba potsentsiaalselt ohus.

Kõik nende seadmete kasutajad peaks iOS tarkvara uuendama. Turvaviga on parandatud tarkvara versioonides iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 ja macOS Ventura 13.1. Täpsema Apple’i turvauuenduste infot leiab siit.

Microsoft paikas kaks nullpäeva turvanõrkust ja 49 haavatavust

Parandatud vigadest kuus on hinnatud kriitiliseks, kuna need võimaldavad koodi kaugkäivitamist. Parandati kaks nullpäeva turvanõrkust (CVE-2022-44698 ja CVE-2022-44710), millest ühte (CVE-2022-44698)  on juba rünnetes ära kasutatud. Turvanõrkust (CVE-2022-44698) on hinnatud keskmise skooriga 5.4/10 (BP).

Kes ja mida peaks tegema?

Kõik Microsofti toodete kasutajad peaks üle kontrollima, kas mõni neil kasutusel olev tarkvara sai turvapaiga ja esimesel võimalusel tarkvara uuendama.

Turvaviga (CVE-2022-44698) mõjutab Microsofti tarkvarasid Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2022 Datacenter Azure Edition.

Turvaiga (CVE-2022-44710) mõjutab Microsofti tarkvara Windows 11.

Mitmed turvauuendused avaldati veebilehitsejale Microsoft Edge.

Täielikku raportit parandatud vigadest näeb siin.

Mozilla parandas turvanõrkused Firefoxi veebilehitsejas ja meiliprogrammis Thunderbird

Vead on paigatud Firefoxi versioonis 108, Firefox ESR versioonis 102.6 ja Thunderbirdi versioonis 102.6. Mitmed paigatud haavatavused võimaldavad ründajal saada ligipääs komporomiteeritud süsteemidele ja seetõttu on need hinnatud kõrge mõjuga turvavigadeks (Mozilla, CISA).

Kes ja mida peaks tegema?

Mozilla tarkvarade Firefox, Firefox ESR ja Thunderbird kasutajad peaks turvapaigad rakendama esimesel võimalusel.

Adobe paikas 38 turvanõrkust

Adobe parandas 38 turvanõrkust, mõned neist võimaldavad ründajal koodi käivitada ja õigustega manipuleerida (SW).

Kes ja mida peaks tegema?

Turvavead mõjutavad Adobe Experience Manager (AEM), Adobe Campaign Classic (ACC) ja Illustrator tarkvarasid. Nende tarkvarade kasutajad peaks uuendused paigaldama esimesel võimalusel.

Samba paikas mitu kriitilist turvanõrkust

Samba tarkvaras parandati neli turvanõrkust, mis võimaldavad ründajal saada nakatunud süsteemid enda kontrolli alla. Kõrge mõjuga haavatavused (CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ja CVE-2022-45141) on parandatud Samba versioonides 4.17.4, 4.16.8 ja 4.15.13 (HN, SA).

Turvaviga CVE-2022-38023 (8.1/10.0) võimaldab kasutada nõrka RC4-HMAC Kerberose krüpteerimise tüüpi.

Turvaviga CVE-2022-37966 (8.1/10.0) võimaldab Windows Kerberose RC4-HMAC õigustega manipuleerida.

Turvaviga CVE-2022-37967 (7.2/10.0) võimaldab Windows Kerberose õigustega manipuleerida.

Turvavea CVE-2022-45141 (8.1/10.0) võimaldab Samba AD (active directory) domeenikontrolleril kasutada nõrka RC4-HMAC krüpteeringut.

Kes ja mida peaks tegema?

Kõik Samba tarkvara kasutajad peaksid tarkvara uuendama versioonidele 4.17.4, 4.16.8 ja 4.15.13, mis avalikustati 15. detsembril. Täpsem info ja tarkvara uuendused on Samba kodulehel.

RIA analüüsi- ja ennetusosakond