Tag Archives: Windows

Olulisemad turvanõrkused 2024. aasta 28. nädalal

Netgeari ruuterid sisaldasid XSS-i ja autentimisest möödapääsemist võimaldavaid turvanõrkusi

Netgear palub klienditel oma seadmete püsivara uuendada, et paigata skriptisüsti ja autentimisest möödapääsemist võimaldavaid turvanõrkusi (BC). Antud turvanõrkusi võib ära kasutada kasutajate sessioonide varastamiseks, pahaloomulistele veebilehtedele ümbersuunamiseks ja varjatud andmete varastamiseks.

XSS-i turvanõrkus (PSV-2023-011) mõjutab Netgeari XR1000 Nighthawki ruutereid ning autentimisest möödasaamist võimaldav turvanõrkus mõjutab CAX30 Nighthawk AX6 6-Streami ruutereid.

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 150 000 WordPressi veebilehe on mõjutatud Modern Events Calendari pistikprogrammis olevast haavatavusest tähisega CVE-2024-5441, mille kaudu võib ründaja laadida pahaloomulisi faile veebilehele ja käivitada suvalist koodi.

Wordfence’i sõnul tuleneb viga sellest, et plugina “set_featured_image” funktsioonis (kasutatakse sündmuste piltide üleslaadimiseks) puudub faili tüübi valideerimise võimalus, mistõttu võib sinna üles laadida ka kahtlaseid .PHP faile (WF).

Viga mõjutab kõiki plugina versioone kuni 7.12.0, milles on haavatavused paigatud. Wordfence’i raporti kohaselt on häkkerid võtnud turvanõrkuse sihikule ja proovivad seda rünnetes ära kasutada. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas seitse haavatavust, mis mõjutavad tarkvarasid Adobe Premiere Pro, Adobe InDesign ja Adobe Bridge. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ning ohustatud on nii Windowsi kui ka Maci kasutajad.

Mõjutatud on järgmised tooted:

  • Adobe Premiere Pro (CVE-2024-34123) — Mõjutatud versioonid: 24.4.1 ja varasemad, 23.6.5 ja varasemad (Windows ja macOS). CVSS 7.0/10.
  • Adobe InDesign (CVE-2024-20781, CVE-2024-20782, CVE-2024-20783, CVE-2024-20785) — Mõjutatud versioonid: ID19.3 ja varasemad, ID18.5.2 ja varasemad (Windows ja macOS). (CVSS 7.8/10).
  • Adobe Bridge (CVE-2024-34139, CVE-2024-34140). Mõjutatud versioonid:** 13.0.7 ja varasemad, 14.1 ja varasemad (Windows and macOS). (CVSS 7.8).

    Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Windowsi MSHTML nullpäeva turvanõrkust on juba üle aasta pahavararünnakutes ära kasutatud

Microsoft paikas Windowsi nullpäeva turvanõrkuse, mida on juba 18 kuud ära kasutatud pahaloomuliste skriptide käivitamiseks, vältides Windowsi sisseehitatud turvameetmeid (BC).

Sisult saab selle turvanõrkuse abil sundida ohvri seadet avama mingit pahaloomulist URL-i Internet Exploreri veebilehitsejaga, kasutades mhtml: URI funktsiooni. Nõnda on ründajatel kergem pahavara ohvrite seadmetesse juurutada, kuna Internet Explorer hoiatab pahaloomulistest failidest palju vähemal määral, kui teised veebilehitsejad.

Antud turvanõrkuse (tähisega CVE-2024-3811) avastasid Check Point Researchi teadlased 2024. aasta maikuus ja edastasid info Microsoftile, kuid teadlase sõnul avastasid nad turvanõrkuse ära kasutamise jälgi, mis ulatusid koguni 2023. aasta jaanuarini.

Olulisemad turvanõrkused 2024. aasta 26. nädalal

Google Chrome parandas neli kriitilist haavatavust

Google andis välja neli Chrome’i turbeuuendust, parandamaks turvanõrkused tähistega CVE-2024-6290 kuni CVE-2024-6293. Haavatavused mõjutavad populaarse brauseri Dawni ja Swiftshaderi komponente. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada, ent soovitame uuendada Chrome’i esimesel võimalusel. Google Chrome tuleks Windowsi ja macOSi kasutajatel uuendada versioonile 126.0.6478.126/127 ja Linuxi kasutajatel versioonile 126.0.6478.126 (SW).

Juniper Networks paikas kriitilise turvavea

Juniper Networks paikas kriitilise turvavea tähisega CVE-2024-2973, mis võimaldab ründajal autentimisest mööda minna ja saada kontroll seadme üle. Viga on paigatud Session Smart Routeri versioonides 5.6.15, 6.1.9-lts ja 6.2.5-sts ning WAN Assurance Routersi versioonides SSR-6.1.9 ja SSR-6.2.5.

Kuna Juniperi seadmed ja haavatavused on varasemalt olnud ründajate sihtmärgiks, siis soovitame tarkvara uuendada niipea kui võimalik. Näiteks eelmisel aastal rünnati sama ettevõtte haavatavusi, mis mõjutasid EXi lüliteid ja SRXi tulemüüre (BC, Juniper).

Apple paikas AirPodside turvanõrkuse, mis võimaldab pealtkuulamist

Turvaviga tähisega CVE-2024-27867 mõjutab Apple Airpodsi kõrvaklappide versioone AirPods (2nd generation ja uuemad), AirPods Pro, AirPods Max, Powerbeats Pro ja Beats Fit Pro. Turvavea eduka ärakasutamise korral võib ründaja võltsida ühendatavat Bluetoothi seadet ja saada ligipääsu ohvri kõrvaklappidele ning seejärel kõnesid pealt kuulata. Kõigil Apple’i kõrvaklappide kasutajatel tuleks tarkvara uuendada. Haavatavuse parandamiseks tuleks rakendada AirPodsi tarkvara uuendus 6A326 või 6F8 ja Beatsi tarkvara uuendus 6F8 (HN, Apple).

Rünnak nimega GrimResource kasutab võrkude murdmiseks MSC-faile ja Windows XSS-i viga

GrimResource’i rünnak algab pahatahtliku MSC (Microsoft Saved Console)-failiga, mis kasutab ära juba aastast 2018 teada olevat XSS-i haavatavust ‘apds.dll’ teegis. MSC (.msc) failitüüpi kasutatakse Microsofti halduskonsoolis (MMC) operatsioonisüsteemi haldamiseks või tööriistade kohandatud vaadete loomiseks. Ründajate levitatav pahatahtlik MSC-fail sisaldab StringTable-viidet haavatavale APDS-i ressursile ning kui sihtmärk selle avab, on võimalik käivitada URL-i kaudu suvalist JavaScripti (BC).

Ollama tehisintellekti infrastruktuuri tööriistas avastati kriitiline koodi kaugkäivitamist võimaldav haavatavus

Ollama on teenus suurte keelemudelite (LLM) pakendamiseks, juurutamiseks ja käitamiseks Windowsi, Linuxi ja macOSi seadmetes. Kriitiline haavatavus tähisega CVE-2024-37032 võimaldab ründajal kirjutada üle suvalisi serveris olevaid faile ning kaugkäivitada koodi. Viga on paigatud tarkvara versioonis 0.1.34 (HN).

Kriitiline GitLabi turvaviga võimaldab ründajal saada kõrgemad õigused

Kriitiline GitLabi turvaviga mõjutab teatud GitLab Community ja Enterprise Editioni tooteid ning võimaldab kasutajal saada kõrgemad õigused. Turvanõrkus tähisega CVE-2024-5655 on hinnatud kriitilise CVSS skooriga 9.6/10. Haavatavus mõjutab GitLabi versioone CE/EE alates 15.8 kuni 16.11.4, 17.0.0 kuni 17.0.2 ja 17.1.0 kuni 17.1.0. Viga on parandatud GitLabi versioonides 17.1.1, 17.0.3 ja 16.11.5. Lisaks nimetatud haavatavusele paigati veel 13 turvaviga, millest kolm on hinnatud suure mõjuga nõrkuseks. GitLab soovitab kõigil kasutajatel uuendada tarkvara esimesel võimalusel (BC). 

Olulisemad turvanõrkused 2024. aasta 20. nädalal

iOS 17.5 paikab 15 turvanõrkust

Apple avaldas uue iOSi versiooni, milles on parandatud 15 haavatavust. Vead mõjutavad erinevaid rakendusi: Find My, Maps, Notes, Screenshots, Shortcuts, WebKit jt.

Lisaks avaldati ka turvauuendused vanematele iPhone’i ja iPadi seadmetele – mõjutatud on iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation. Turvavead on paigatud tarkvarades iOS 16.7.8, iPadOS 16.7.8 ja macOS Ventura 13.6.7.

Sel aastal on juba kolme Apple’i turvanõrkust õnnestunud kuritarvitada ja seetõttu soovitame kõigil Apple’i seadmete kasutajatel tarkvara uuendada (9to5mac, Apple, BC).

Google paikas kolmanda Chrome’i nullpäeva turvanõrkuse nädala jooksul

Möödunud nädalal tuli Google Chrome’i veebilehitsejas avalikuks lausa kolm nullpäeva turvanõrkust. Ettevõtte teatel on turvavigasid tähistega CVE-2024-4947, CVE-2024-4671 ja CVE-2024-4761 õnnestunud rünnete läbiviimisel ära kasutada. Sel aastal on Chrome’is avastatud kokku juba seitse nullpäeva turvanõrkust. Kõigil kasutajatel tuleks uuendada Chrome uusimale versioonile 125.0.6422.60 (SA, BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas kokku 35 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat ja Reader, Adobe Illustrator, Adobe Substance 3D Painter ning Adobe Aero. Mitmed parandatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada. Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Kuna kriitilised turvavead mõjutavad ka laialdaselt kasutusel olevaid Adobe Acrobat ja Reader tarkvarasid, siis on oluline tarkvara värskendada. Lisatud lingil on nimekiri kõigist Adobe tarkvarade turvauuendustest (SW).

VMware paikab Pwn2Owni häkkimisvõistlusel leitud haavatavused

VMware paikas neli turvanõrkust (CVE-2024-22267, CVE-2024-22268, CVE-2024-22269 ja CVE-2024-22270), mis võimaldavad ründajal pahatahtlikku koodi käivitada, teenuseid tõkestada ja saada ligipääsu tundlikule infole. Turvavead mõjutavad VMware’i tooteid Workstation (versioonid 17.x) ja Fusion (versioonid 13.x). Haavatavused on paigatud  nimetatud tarkvarade versioonides 17.5.2 ja 13.5.2. Nendel, kel ei ole võimalik tarkvara uuendada, soovitab tootja virtuaalmasinas Bluetoothi toe välja lülitada ja 3D-funktsioon keelata (SW, HN).

Microsoft paikas Windowsi nullpäeva turvanõrkuse

​Microsoft on parandanud nullpäeva haavatavuse, mida kasutati QakBoti ja muude pahavarade levitamiseks Windowsi süsteemidesse. QakBoti on seostatud vähemalt 40 lunavararündega, mis on suunatud ettevõtete, tervishoiuteenuste osutajate ja riigiasutuste vastu üle kogu maailma.

Turvanõrkuse CVE-2024-30051 eduka ära kasutamise korral sai ründaja süsteemitaseme õigused. Kokku paigati 61 turvaviga, mille hulgas oli kolm nullpäeva turvanõrkust ja 27 koodi kaugkäivitamist võimaldavat viga. Ainult üks paigatud viga on hinnatud kriitiliseks ning see mõjutab Microsoft Office SharePointi tarkvara (BC, BC).

Intel paikas oma toodetes 90 turvaviga

Kõige tõsisema mõjuga on kriitiline turvaviga tähisega CVE-2024-22476, mida on hinnatud maksimaalse CVSS skooriga 10/10 ja mille kaudu on võimalik saada kaugteel kõrgemad õigused. Suuremale osale haavatavustest on olemas turvapaigad, aga mõnele on pakutud ka leevendavaid meetmeid. Enamik turvavigadest võib kaasa tuua privileegide suurenemise, teenuste tõkestamise või tundliku teabe avalikustamise (SW).

D-Linki ruuterid on haavatavad seadme ülevõtmise veale

HNAP-i protokolli turvaviga mõjutab D-Linki ruutereid ja annab autentimata ründajale võimaluse juurõigustes pahaloomulisi käske käivitada. Teadurid avaldasid nullpäeva turvanõrkusele kontseptsiooni tõenduse, mis näitab, kuidas nimetatud haavatavust on võimalik ära kasutada. Turvaviga mõjutab D-Linki DIR-X4860 ruutereid ja selle kaudu on võimalik seade üle võtta. Hetkel ei ole veel haavatavusele olemas parandust, samuti ei ole ruuteri tootja vastanud midagi turvavea avastajale. Mõjutatud seadmete kasutajatel on võimalik kaugjuurdepääsu haldusliides ära keelata, et turvanõrkuse mõju vältida.

D-Linki seadmetes olevad vead võivad olla suureks turvariskiks. Varasemalt on teada, et neid on kasutatud nii robotvõrgustike loomiseks kui ka tundlike andmete varastamiseks. Lisaks on ettevõte ise sattunud küberründe ohvriks, mille käigus paljastati nende lähtekood ja klientide andmed (DR, SSD, BC).