Tag Archives: Mozilla

mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 39. nädalal

  • Microsoft Exchange’i uued nullpäeva turvanõrkused

Microsoft avaldas, et nende Exchange Server 2013, 2016 ja 2019 puhul avastati kaks uut (CVE-2022-41040 ja CVE-2022-41082) nullpäeva turvanõrkust. Eduka ärakasutamise korral on võimalik ründajal käivitada serveris pahaloomulist koodi, liikuda lateraalselt edasi või varastada andmeid. Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega ja on pakkunud välja alternatiivsed kaitsemeetmed, kuidas turvanõrkuste vastu end hetkel kaitsta (MSRC, BP, RIA).  

Riigi Infosüsteemi Amet on pikemalt nendest turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Kriitilised haavatavused WhatsAppi sõnumirakenduses

Sõnumirakenduses WhatsApp parandati kaks turvanõrkust (CVE-2022-36934 ja CVE-2022-27492), mis võimaldavad ründajal koodi kaugkäivitada. Haavatavused mõjutavad erinevaid WhatsAppi tarkvara versioone (pikemalt kirjeldatud all). Soovitame uuendada WhatsAppi rakendus esimesel võimalusel (SA, MB, WhatsApp).

Nimelt parandas WhatsApp septembris kaks turvanõrkust, mis lubavad õnnestunud ärakasutamise korral koodi kaugkäivitamist haavatavas seadmes. Turvanõrkust CVE-2022-36934 on hinnatud skooriga 9.8/10.0 ja teist turvanõrkust CVE-2022-27492 skooriga 7.8/10.0.

CVE-2022-36934 – Turvaviga peitub spetsiifilisemalt ühes WhatsAppi rakenduse komponendis, mis on seotud videokõnedega. Videkõne ajal on ründajal võimalik selle vea abil tekitada puhvri ületäitumine (buffer overflow) ja saada kontroll WhatsAppi rakenduse üle. Puhvri ületäitumine on olukord, kus ründajal õnnestub tarkvarale eraldatud mälupiirkonda (memory region) ignoreerida ja selle abil käivitada pahaloomuline kood.

CVE-2022-27492 – Ründaja saab seda turvaviga ära kasutada, kui ta saadab sihtmärgile spetsiaalse videofaili, mille ohver peab siis omakorda käivitama. Sellisel juhul on võimalik ründajal teostada koodi kaugkäivitamist haavatavas seadmes. Turvanõrkus tekitab WhatsAppi rakenduses spetsiaalse olukorra (integer underflow), mille puhul on siis võimalik ründajal pahaloomulist koodi kaugkäivitada.

Kes ja mida peaks tegema?

CVE-2022-36934 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.12.
  • WhatsAppi Business rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui 2.22.16.12.

CVE-2022-27492 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.2.
  • WhatsAppi rakendus iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.15.9.

Soovitame haavatava versiooni kasutamise korral uuendada rakendus esimesel võimalusel. Juhised, kuidas rakendust uuendada, leiate tootja kodulehelt.

  • Twitter parandas turvavea, mis jättis kasutajad sisselogituks pärast parooli lähtestamist

Twitteri sõnul parandasid nad vea, mis jättis kasutaja sisselogituks pärast parooli lähtestamist. Pärast turvavea avastamist logiti kõik mõjutatud kasutajad automaatselt välja ja nüüdseks on viga parandatud (MB).

Mitmesse seadmesse sisselogituna jäämine pärast konto parooli vahetamist on tõsine turvarisk. Kui keegi on teie konto juba kompromiteerinud, kuid pärast parooli vahetamist teda välja ei logita, on tal võimalik endiselt kontoga seotud privaatsõnumeid lugeda, vahetada omakorda parool või teha midagi muud pahaloomulist.

Kes ja mida peaks tegema?

Kuna turvaviga on parandatud ja Twitter logis kõik mõjutatud kasutajakontod automaatselt välja, ei tule kasutajatel otseselt täiendavaid kaitsemeetmeid rakendada. Alati soovitame siiski kasutajakontode puhul kasutada kaheastmelist autentimist, kui seda ei ole juba rakendatud.

  • Chrome’i uues versioonis paigati viis kõrge tasemega turvanõrkust

Google avaldas Chrome’i uue versiooni nimetusega Chrome 106, milles on paigatud kokku 22 erinevat turvanõrkust, sealhulgas turvanõrkused, mida oleks saanud teoreetiliselt ära kasutada pahaloomulise koodi käivitamiseks või teenusetõkestusrünnete korraldamiseks. Mõned nendest olid use-after-free nõrkused, mis viitab sellele, et need spetsiifilised haavatavused olid seotud dünaamilise mälu ebakorrektse kasutamisega rakenduse töötamise ajal (SW, CR).

Kes ja mida peaks tegema?

Chrome’i kõige uuem versioon macOSile ja Linuxile kannab nimetust 106.0.5249.61 ning Windowsi puhul 106.0.5249.61/62. Soovitame Chrome võimalusel uuendada, et ennetada turvanõrkuste ärakasutamist. Juhised, kuidas Chrome’i uuendada, leiate siit.

  • Cisco paikas kaksteist kõrge tasemega turvanõrkust

Eelmisel nädalal avalikustas Cisco, et paikas enda IOS ja IOS XE tarkvarades 12 kõrge tasemega turvanõrkust. Kõige kriitilisema skooriga (8.6/10.0) hinnati kuut haavatavust (CVE-2022-20848, CVE-2022-20847, CVE-2022-20870, CVE-2022-20919 , CVE-2022-20856, CVE-2022-20837), mis kõik võivad viia teenusekatkestuseni. Ründaja saab kasutada neid nõrkuseid, saates pahaloomulisi CIP-, DNS- või CAPWAP-pakette, pahaloomulisi UDP datagramme või DHCP sõnumeid haavatavate seadmete suunas (SW).

Kaks madalama skooriga turvanõrkust CVE-2022-20920 (7.7/10.0) ja CVE-2022-20915 (7.4/10.0) võimaldavad samuti põhjustada teenusekatkestusi haavatavate seadmete puhul, kui saadetakse spetsiifilisi SSH-päringuid või IPv6-pakette.

Ülejäänud kõrge tasemega turvanõrkuste abil on võimalik teoreetiliselt enda õiguseid suurendada (CVE-2022-20775, CVE-2022-20818) või käivitada teatud tingimustel pahaloomulist koodi (CVE-2022-20944).

Kes ja mida peaks tegema?

Soovitame tutvuda tootja väljastatud turvanõrkuste nimekirjaga siin ja haavatavuste korral rakendada uuendused.

  • Mozilla paikas mitmed turvanõrkused Thunderbirdi meilirakenduses

Mozilla paikas mitmed turvanõrkused Thunderbirdi meilikliendi uues versioonis 102.3.1. Kolm neist on hinnatud kõrge mõjuga haavatavusteks. Tarkvara kasutamise korral soovitame see uuendada, et ennetada turvanõrkuste ärakasutamist (Mozilla).

Kõik parandatud turvanõrkused on seotud Matrixi suhtlusprotokolliga. Järgnevalt kirjeldame veidi pikemalt turvanõrkuseid, mille Mozilla hindas kõrge tasemega.

CVE-2022-39249 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on pahaloomulisel serveri administraatoril võimalik võltsida krüpteeritud sõnumeid ja jätta mulje, et need saadeti kellegilt teiselt kasutajalt samast serverist.

CVE-2022-39250 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on võimalik pahaloomulisel serveri administraatoril segada seadmeülest verifitseerimisprotseduuri selleks, et autentida end enda seadmega.

CVE-2022-39251 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on ründajal võimalik näiliselt kasutada kasutajate ajaloolisi sõnumeid pahaloomuliseks tegevuseks.

Kes ja mida peaks tegema?

Tarkvara kasutajatel soovitame tarkvara uuendada vähemalt versioonini 102.3.1, et ennetada mainitud turvanõrkuste ärakasutamist.

RIA analüüsi- ja ennetusosakond

Veel brauseriuudiseid: ka Mozilla Firefoxi turvalisus tõuseb

firefox_logo-wordmark-horiz_RGB

Anto Veldre, RIA analüütik

Kiire kokkuvõte: kõik sirvikutootjad muudavad oma brausereid turvalisemaks, igaüks neist omal moel. Värske uudisena nõustub Firefox 22. septembrist tegema koostööd vaid nõuetekohaselt allkirjastatud ID-kaardi lisamooduliga (extension), mistõttu Firefoxi uuenemisel tuleb kasutajal kindlasti uuendada ka ID-kaardi tarkvara. Ühtlasi muutub lisamooduli uuendamine nii RIA kui lõppkasutaja jaoks veidi keerulisemaks ja aeganõudvamaks.

Taust

Arvutikasutajad kindlasti imestavad, miks suvel ja korraga kõik internetilehitsejad järsku uuenema hakkasid? Põhjuse leiab mõne vähemteadliku kasutaja arvutist – kui internetibrauseri ülemine ots on igasugustest Conduit Search Bar’idest, Assistant moodulitest ja muust säärasest nii küllastunud, et sisu ei mahu enam ekraanile 🙂 Olukorda iseloomustab hästi üks mõne aasta tagune pilapilt sel teemal, kuigi peab ütlema, et Java ning Flashi ärakeelamise kaudu on mõningane osa turvalisust vahepeal tagasi võidetud…

Allikas: http://www.soc.cornell.edu/computing/ie.html

Allikas: http://www.soc.cornell.edu/computing/ie.html

Loomulikult soovib erafirma panna oma tarkvara brauserisse käima, sest siis tekib teatav kontroll ka brauseri kogu liikluse üle. Näiteks mõned Search Bar tüüpi moodulid haaravad päringu vahelt ega saadagi seda Google’isse, vaid sokutavad inimesele omaenda otsitulemusi ja reklaame.

Sama loomulik, et brauserisse soovivad elama tulla igasugused viirused ja pahavarad. On säärane ingliskeelne väljend nagu MiB – ei, mitte Men in Black, vaid “Man in the Browser” – brauseripetis, ehk siis mehike, kes istub internetisirviku küüru otsas, vahendab kogu liiklust ja kuulab kõike pealt.

Olukorras, kus lihtkasutaja täpselt ei mõika, mida ta teeb, vastates igale tarkvarapakkumisele YES, hakkas veebilehitsejate küüru peal vohava pahavara hulk ületama mõistlikku piiri. Sellega seoses hakkasidki suuremad brauseritootjad paar aastat tagasi mõtlema, kuidas vaenulikule faunale piiri panna.

Eesti rahvuslik tragöödia seisneb asjaolus, et kuniks muu maailm kiipkaardi ja brauseri integratsioonist suurt ei hooli, elab ka meie ID-kaart samamoodi veebilehitseja küüru otsas. Seni on ID-kaardi lisamooduli tegemine olnud imelihtne. Teed valmis, paigaldad brauserisse ja voilaa! – e-riik ongi kättesaadav. Kuid nüüd hakkavad asjad muutuma pisut keerulisemaks.

Firefox

Tänaseks on saabunud selgus Mozilla Firefoxi (FF) osas, kus lisamoodulitega ühildumise mehhanism muutub oluliselt karmimaks. 11. augustil hakkab levima Firefoxi versioon 40, mis eelistab koostööd just allkirjastatud lisamoodulitega (extensions). Uuendades varem olemasolevat FF’i, ei pea kasutaja muretsema, kuid esmakordselt Firefoxi paigaldades näitab brauser ID-kaardi lisamoodulile kollast tuld. Kasutamine pole seejuures takistatud:

Kollase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox. Proceed with caution.

(Sarnaseid küsimusi on varem küsitud Windows XP draiverite installimisel, kui digitaalselt allkirjastamata draiverite puhul kerkis ekraanile spetsiaalne dialoogiaken.)

Kuid juba 22. septembril saabub Firefoxist versioon 41, mille käitumine on oluliselt karmim: see nõustub töötama vaid nõuetekohaselt allkirjastatud lisamoodulitega. Plaani kohaselt varustatakse ka ID-kaardi lisamoodul selle autentsust tõestava krüptograafilise tõendiga. Mooduli varasemat (=praegust) versiooni hakkab Firefox alates 22. septembrist tõrjuma säärase teatega:

Punase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox and has been disabled.

ID-kaardiga autentimise jaoks vajaliku laienduse uusversioon saabub arvutitesse ID-tarkvara automaatuuendusega. Kui automaatuuendus ei ole lubatud, tuleb uus versioon selleks ajaks arvutisse ise installeerida.

Erilist tähelepanu tuleb FF teemale pöörata neis asutustes ja firmades, kus on mingi pärandvaraline põhjus uusimatest versioonidest hoidumiseks.

Edge ja Chrome

Meenutame ka, mis toimub hetkel teiste internetilehitsejatega.

Microsoftil on just praegu käsil üleminek Win10 op-süsteemile ning tuttuuele Edge brauserile. Teada on vaid see, et koht moodulite ühendamiseks tuleb “pisut turvalisem” kui IE küür, kuid midagi täpsemalt teada pole. Ilmselt saabuvad uudised alles paari kuu jooksul. Seni aga, kuniks Edge sirvikul puudub koht pluginate/moodulite külgeühendamiseks, ei saa Edge’ile pakkuda ka ID-kaardi tuge (vt Windows 10 ja e-teenused).

Google on oma veebilehitsejaga Chrome samuti standardeid ümber tegemas. Otsustav muudatus kliendi poolel on juba tehtud ning (praeguse info kohaselt) septembri alguses saabub Chrome’i uusversioon 45, mis vanu NPAPI standardis pluginaid enam ei tunnista. Chrome’i loojate valitud tee on kõige valulisem, sest nõuab muudatusi ka serverite poolel. Eks septembris paistab, kas kõik Eestis ID-kaardiga teenust pakkuvad internetisaidid suudetakse Chrome’i uue pluginastandardi (Native Messaging) peale üle viia või jääb mõni teenusepakkuja hätta. (Vt Veebilehitsejas Chrome läheb ID-kaardiga allkirjastamine (korraks) katki ja Suuremad sirviku-uuendused sel suvel)

Sellesuvine hetkeseis brauserimaailmas

  1. Chrome – muudatus (versioon 45) saabub umbes 7. septembril. Kui mõni ID-kaarti pruukiv teenus pole muudatusega vastavusse viidud, siis kasutajad seda uue Chrome’iga kasutada ei saa. Teenusepakkuja leiab lisainfot veebilehelt id.ee.
  2. Edge – Microsoft pole veel moodulite kinnituskohti ja standardeid avalikult välja hõiganud, mistõttu Edge on kasutatav vaid Mobiil-ID abil.
  3. Internet Explorer – vana ja kaduv, kuid hetkel jätkab ID-kaardiga töötamist.
  4. Mozilla Firefox – alates versioonist 40 (11. augustist) hakkavad kasutajad saama hoiatusi ning versioonist 41 (22. septembrist) nõuab FF nõuetekohaselt sertifitseeritud/allkirjastatud/jne lisamoodulit, mille RIA ja SK siis loodetavasti jõuavad õigeks ajaks valmis teha ning ID-kaardi tarkvarauuendusse lisada.
  5. Mac OS X ja Safari – sügisel on oodata uut versiooni El Capitan, RIA ja SK tegelevad beetaversiooni uurimisega. Eesmärk on, et kasutaja saaks tarkvara uuendatud ühekorraga (Firefoxi ja El Capitani tugi tulevad koos).

Neile, kes soovivad katsetada juba praegu: