Tag Archives: Pixel

Olulisemad turvanõrkused 2024. aasta 24. nädalal

Microsoft paikas oma toodetes 51 haavatavust

Microsoft parandas kokku 51 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvanõrkustest on vaid üks hinnatud kriitilise mõjuga veaks.

Paigati ka üks nullpäeva turvanõrkus tähisega CVE-2023-50868, mis on seotud DNSSECi valideerimisega. Lisaks paigati seitse turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas oma toodetes kokku 166 turvaviga. Näiteks parandati üle kümne kriitilise ja olulise turvavea tarkvarades Adobe Commerce, Magento Open Source ja Adobe Commerce Webhooks Plugin.

Lisaks paigati ka mitmeid haavatavusi, mis mõjutavad tarkvarasid Adobe Photoshop, Adobe Audition, Adobe Media Encoder, Adobe FrameMaker Publishing Server, Adobe Commerce, Adobe ColdFusion, Adobe Substance 3D Stager, Adobe Creative Cloud Desktop ja Adobe Acrobat Android.

Ettevõte hoiatab, et turvanõrkuste ärakasutamine võib kaasa tuua suvalise koodi käivitamise Windowsi ja macOSi platvormidel. Adobe’i teatel pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Nvidia paikas suure mõjuga GPU-draiverite turvanõrkused

NVIDIA avalikustas turvauuendused, millega parandatakse kokku kümme haavatavust GPU-draiverite ja virtuaalse GPU (vGPU) tarkvarades. Nende hulgas on suure mõjuga vead, mis võimaldavad ründajal koodi käivitada, teenuse tööd häirida ja õigustega manipuleerida. Vead mõjutavad nii Windowsi kui ka Linuxi operatsioonisüsteeme. Turvavead on paigatud GPU-draiveri tarkvara versioonides R555, R550, R535 ja R470 ning kasutajatel soovitatakse tarkvara uuendada niipea kui võimalik (SW, Nvidia).

Fortinet paikas FortiOSi koodi käivitamise turvavea

Fortinet paikas oma toodetes mitmeid haavatavusi, mille hulgas ka suure mõjuga koodi käivitamise viga tähisega CVE-2024-23110. Ettevõtte sõnul võimaldab turvaviga autentimata ründajal suvalist koodi või käsklusi käivitada. Viga mõjutab FortiOSi versioone 6.x ja 7.x ning on parandatud FortiOS versioonides 6.2.16, 6.4.15, 7.0.14, 7.2.7 ja 7.4.3.

Ettevõte parandas ka keskmise mõjuga haavatavuse  tähisega CVE-2024-26010, mis mõjutab tarkvarasid FortiOS, FortiProxy, FortiPAM ja FortiSwitchManager. Selle kaudu on samuti võimalik ründajatel kaugelt suvalist koodi või käsklusi käivitada.

Soovitame kõigil Fortineti toodete kasutajatel tarkvara uuendada, kuna varasemalt on nende tarkvarade turvanõrkused olnud tihti ründajate sihtmärgiks (SW).

Apple paikas Vision Pro turvanõrkuse

Apple paikas eelmisel nädalal visionOSi turvanõrkuse tähisega CVE-2024-27812, mis mõjutab nende Vision Pro virtuaalreaalsuse peakomplekti. Tegemist võib olla esimese haavatavusega, mis taolisi seadmeid mõjutab. Nimetatud turvaviga koos paljude teistega on paigatud visionOSi versioonis 1.2.

VisionOS 1.2 parandab peaaegu kaks tosinat turvaauku. Suurem osa neist mõjutab komponente, mida visionOS jagab teiste Apple’i toodetega, nagu iOS, macOS ja tvOS. Haavatavused võivad kaasa tuua suvalise koodi käivitamise, teabe avaldamise, õigustega manipuleerimise ja teenuste tõkestamise (SW, Apple).

Google hoiatab Pixeli nutiseadmete turvanõrkuse eest

Google andis välja turvauuenduse, millega paigatakse 50 haavatavust Pixeli seadmetes. Ettevõtte teatel on nende hulgas ka nullpäeva turvanõrkus tähisega CVE-2024-32896, mida on õnnestunud rünnetes ära kasutada. Turvaviga võimaldab õigustega manipuleerida ja seda on hinnatud kõrge mõjuga haavatavuseks.

Google on märkinud, et nad näevad turvavea ärakasutamist sihitud rünnetes. Lisaks nimetatud nullpäeva turvaveale paigati veel mitmeid kriitilisi haavatavusi.

Turvauuendus on saadaval järgmistele Pixeli seadmetele: Pixel 5a with 5G, Pixel 6a, Pixel 6, Pixel 6 Pro, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel 8, Pixel 8 Pro, Pixel 8a ja Pixel Fold. Kõigil kasutajatel soovitatakse Pixeli seadmed uuendada versioonile 2024-06-05 (BC, HN, Android).

Ivanti turvanõrkusele avaldati kontseptsiooni tõendus

Teadurid avalikustasid kontseptsiooni tõenduse (proof-of-concept), mis näitab kuidas on võimalik Ivanti Endpoint Manageri tarkvaras olevat turvaviga tähisega CVE-2024-29824 rünnetes ära kasutada. Tõenäoliselt suurendab see rünnete arvu, mis nimetatud haavatavust ära kasutavad.

Haavatavus võimaldab autentimata ründajal käivitada pahaloomulisi SQLi käsklusi ja on seetõttu hinnatud kriitilise CVSS skooriga 9.8/10. Turvaveale on olemas parandus juba maikuust. Sel aastal on avalikuks tulnud mitmeid Ivanti nullpäeva turvanõrkusi ja ründajad on need ka korduvalt sihikule võtnud. Seetõttu soovitame kõigil Ivanti toodete kasutajatel tarkvara uuendada esimesel võimalusel (DR).

ASUS paikas ruuterites kriitilise turvavea

Turvaviga tähisega CVE-2024-3080 on hinnatud kriitilise CVSS skooriga 9.8/10, kuna see võimaldab ründajal autentimisest mööda minna. Turvaviga mõjutab seitset ASUSe ruuterit: XT8 (ZenWiFi AX XT8), XT8_V2 (ZenWiFi AX XT8 V2), RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U ja RT-AC68U. Lisaks paigati veel teine kriitiline haavatavus tähisega CVE-2024-3912, mille kaudu on võimalik pahaloomulist tarkvara üles laadida.

Ettevõte soovitab kõigil ASUSe ruuterite kasutajatel tarkvara uuendada. Kui see ei ole võimalik, siis tuleks tagada, et konto ja WiFi-paroolid oleksid tugevad (SA, BC).

Olulised turvanõrkused 2022. aasta 45. nädalal

Microsoft paikas uuenduste teisipäeva raames 68 turvaviga

Microsoft avalikustas, et parandas enda toodetes 68 turvaviga, millest kuut on aktiivselt ära kasutatud (BP). Uuenduste teisipäev on igakuine päev, mil ettevõte koondab ja publitseerib informatsiooni uutest turvanõrkustest, mis on firma toodetes paigatud.  

Microsoftilt tulid parandused muuhulgas ka kahele turvanõrkusele, mida teatakse koondnimetusega ProxyNotShell. Need kaks haavatavust võimaldavad suurendada õiguseid haavatavas süsteemis ja seal potentsiaalselt pahaloomulist koodi käivitada. Microsoft pakkus algselt mõjutatud süsteemidele (Microsoft Exchange Server 2013, 2016 ja 2019) välja ajutised kaitsemeetmed, kuid nüüd on olemas ka turvauuendused. RIA kirjutas pikemalt nendest haavatavustes septembri lõpus enda blogis.

Samuti paikas ettevõte turvanõrkuse CVE-2022-41091, mis lubas pahaloomulisel osapoolel ühest Microsofti kaitsemeetmest (Mark of the Web ehk MOTW) mööda pääseda. MOTW on kaitsemeede, mis hoiatab kasutajaid kahtlaste failide avamise korral. Meetme rakendudes kuvab Windows kasutajale hoiatusteate, milles palutakse temalt faili avamise jaoks kinnitust. Nõrkuse tõttu aga ei rakendunud teatud failide puhul (nt .LNK failid) see kaitsemeede. Ründajad saavad seda haavatavust ära kasutada, et käivitada lihtsamalt pahaloomulisi programme sihtmärgi süsteemis(des). 

Kes ja mida peaks tegema?

RIA soovitab tutvuda kõikide paigatud nõrkustega ja uurida, milliseid süsteeme need mõjutavad. Vajadusel tuleb rakendada vastavad turvauuendused, et vältida nõrkuste ärakasutamist. Täpsemalt saate ülevaate parandatud nõrkustest siit.

Apple paikas kaks olulise mõjuga haavatavust enda toodetes

USA tehnoloogiahiid avalikustas uued iOSi (16.1.1), macOSi (13.0.1) ja iPadOSi (16.1.1) tarkvaraversioonid, milles on parandatud kaks olulist turvaviga (CVE-2022-40303 ja CVE-2022-40304). Mõlema haavatavuse abil on ründajal võimalik rakenduste tööd häirida või käivitada pahaloomulist koodi. Apple ei ole teadlik, et neid haavatavusi oleks jõutud ära kasutada (SW).

Parandatud turvanõrkuste nimekiri macOS 13.0.1 versioonis.

Parandatud turvanõrkuste nimekiri iOS 16.1.1 ja iPadOS 16.1.1 versioonides.

Kes ja mida peaks tegema?

Kui teie Apple tooted pakuvad teile tarkvara uuendamise võimalust, rakendage uuendus esimesel võimalusel.

Juhendi, kuidas macOSi uuendada, leiate siit. Juhendi, kuidas iOSi/iPadOSi uuendada, leiate siit.

VMware parandas kolm kriitilist turvaviga

VMware paikas kolm kriitilist turvanõrkust VMware Workspace ONE Assistis, mis võimaldavad autentimisest mööda minna ja omandada süsteemis administraatori tasemel õigused. Ründajal peab olema võrguligipääs haavatavale Workspace ONE Assist serverile. Turvanõrkuseid tähistatakse nimetustega CVE-2022-31685, CVE-2022-31686 ja CVE-2022-31687 ja kõiki on hinnatud skooriga 9.8/10.

Kes ja mida tegema peaks?

Turvanõrkused parandati VMware Workspace ONE Assisti versioonis 22.10. Kui te te seda toodet kasutate, tutvuge VMWare’i juhistega ja rakendage versioon 22.10 esimesel võimalusel.

Lenovo parandas sülearvutitel kaks kõrge tasemega haavatavust

Lenovo parandas erinevatel sülearvutitel kaks kõrge tasemega haavatavust (BP). Nõrkuste kaudu on ründajatel võimalik deaktiveerida UEFI Secure Boot. Selle tagajärjel saab ründaja mööda minna kõigist seadme kaitsemeetmetest, et paigaldada pahavara, mis ei kao operatsioonisüsteemide korduvinstalleerimisel.

CVE-2022-3430 – Mõne Lenovo sülearvuti jaoks mõeldud WMI häälestusdraiver võib kõrgendatud õigustega ründajal lubada muuta Secure Booti sätteid.

CVE-2022-3431 – Mõne sülearvutimudeli tootmise jooksul kasutati draiverit, millel oli nõrkus ning see draiver unustati deaktiveerida. Selliste mudelite puhul on võimalik kõrgendatud õigustega ründajal muuta Secure Booti sätteid.

Kes ja mida peaks tegema?

Lenovo toodete kasutajatel soovitatakse kontrollida, kas nende kasutatavad tooted on haavatavad. Selleks tuleb külastada tootja veebilehte, kus on haavatavad mudelid välja toodud ning rakendada vajadusel turvauuendused.

Google Pixel 6 ja 5 nutitelefonide lukustuskuvast on võimalik mööda pääseda

Üks küberturvalisuse ekspert avastas, et tal oli võimalik enda Pixel 6 nutitelefoni lukustuskuvast mööda pääseda (BP). Nimelt tekkis temal selline tavatu situatsioon siis, kui tal oli vaja seade uuesti PUK-koodiga avada. Koodi kasutamise järgselt pidi ekspert uue PIN-koodi looma ja sisestama. Kui ta oli seda teinud, ei küsinud seade enam lukustuskuva parooli, vaid kasutajal tuli ainult lõpetada biomeetrilise autentimise protseduur. Kuna Androidi seadmed küsivad seadme taaskäivitamisel alati lukustuskuva parooli või mustrit, tekitas eelnevalt kirjeldatud situatsioon eksperdis kahtlust. Uurides nõrkuse asjaolusid täpsemalt, selgus, et pahatahtlikul osapoolel õnnestuks ka biomeetrilist autentimist vältida ning saada ligipääs seadme koduekraanile.

See tähendab, et kõigil kellel on seadmele füüsiline juurdepääs, on võimalik seade turvavea abiga avada. Selleks tuleb ründajal lihtsalt kasutada personaalset SIM-kaarti, keelata biomeetriline autentimine (proovides sõrmejäljega end ebaõnnestunult autentida liiga palju kordi), sisestada kolm korda vale PIN-kood ja esitada PUK-kood.

Kes ja mida peaks tegema?

Turvaviga (CVE-2022-20465) mõjutab kõiki Google Pixel 6 ja 5 seadmeid, mis kasutavad Androidi versioone 10,11,12 ja 13 ja millele ei ole rakendatud 7. novembril avaldatud uuendus. Kui te selliseid telefone kasutate, uuendage seade esimesel võimalusel. 

SAP paikas mitu kriitilist turvanõrkust enda toodetes

SAP paikas mitu turvanõrkust (CVE-2022-41203, CVE-2021-20223, CVE-2022-35737 ja CVE-2022-41204 ), mis on hinnatud kriitiliseks (vastavalt skooridega 9.9/10.0; 9.8/10.0 ja 9.6/10.0). Turvavead mõjutavad SAPi tarkvarasid BusinessObjects and SAPUI5. Kui neid edukalt ära kasutada, võivad need avalda mõju nii süsteemide käideldavusele, terviklusele kui konfidentsiaalsusele (SW).

Kes ja mida peaks tegema?

Mõjutatud tarkvarade versioonid on välja toodud tootjapoolses ülevaates siin. Vajadusel tuleb rakendada turvapaigad.