Microsoft paikas oma toodetes mitukümmend haavatavust, mille hulgas oli ka kaks nullpäeva turvanõrkust, kirjutab riigi infosüsteemi amet blogis.
Esimene neist tähisega CVE-2023-29336 on seotud Win32k draiveriga ning eduka ründe korral on ründajal võimalik saada selle abil kontroll kogu haavatava süsteemi üle. Microsoft ei ole avaldanud infot selle kohta, et turvaviga oleks rünnetes ära kasutatud. Viga mõjutab Windows 10, Windows Server 2008, 2012 ja 2016 operatsioonisüsteemide kasutajaid.
Teine nullpäeva turvanõrkus tähisega CVE-2023-24932 lubab ründajal aga Secure Booti turvalahendusest mööda pääseda. Seda haavatavust võib ründaja ära kasutada, et kindlustada kompromiteeritud seadme üle püsiv kontroll. CVE-2023-24932 kuritarvitamiseks on vaja kõrgendatud õiguseid või füüsilist ligipääsu haavatavale seadmele.
Linuxi Netfilteri viga võimaldab ründajal saada juurõigused
Turvanõrkuse CVE-2023-32233 abil on ründajal võimalik omandada haavatavas süsteemis juurõigused ja saada seeläbi täielik kontroll süsteemi üle. Netfilter on pakettide filtreerimise ja võrguaadresside teisendamise (NAT) raamistik, mis on Linuxi kernelisse integreeritud. Haavatavus mõjutab mitmeid Linuxi kerneli versioone, nende seas ka versiooni 6.3.1. Turvanõrkuse kuritarvitamiseks on ründajal vaja siiski saada esmalt lokaalne ligipääs haavatavale seadmele.
Turvanõrkusele on loodud ka kontseptsiooni tõendus (proof-of-concept ehk PoC), mida on hetkel jagatud vaid Linuxi kerneli arendajatega, kuid mis on lubatud 15. mail avalikustada(BC, SA).
Turvaveast mõjutatud Linuxi kasutajad peaks uuendama tarkvara esimesel võimalusel.
WordPressi turvanõrkus ohustab vähemalt miljonit veebilehte
Turvanõrkus CVE-2023-32243 avastati pistikprogrammis Essential Addons for Elementor, mida kasutab vähemalt üks miljon WordPressi veebilehte. Turvavea tõttu võib ründaja saada haavatavas süsteemis kõrgendatud õigused. Turvanõrkus mõjutab pistikprogrammi versioone 5.4.0 kuni 5.7.1 (BC).
Kõik veebilehe haldurid, kes mainitud pistikprogrammi kasutavad, peaksid esimesel võimalusel uuendama selle versioonile 5.7.2, kus viga on parandatud.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
