Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida, teatas riigi infosüsteemi amet oma blogis.
Haavatavus mõjutab Adobe Commerce versiooni 2.4.4-p1 ja varasemad ning 2.4.5 ja varasemad. See puudutab ka Magento samu versioone.
Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.
Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga
Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):
- 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
- kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
- 20 võimaldavad koodi kaugkäivitamist.
- 11 võivad põhjustada andmeleket.
- kaheksa on seotud teenuste katkestusega (denial of service).
- nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).
Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.
CVE-2022-41033 turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.
Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
