WordPressi pistikprogrammil Elementor Pro avastati kõrge mõjuga haavatavus, mida aktiivselt kuritarvitatakse, kirjutab riigi infosüsteemi amet (RIA) blogis.
Autentitud ründaja saab turvanõrkust ära kasutada administraatorikonto loomiseks, mille abil on teoreetiliselt võimalik haavatav veebileht täielikult üle võtta. Turvaviga mõjutab veebilehte, kui kasutatakse Elementor Pro nimelist pistikprogrammi koos WooCommerce’i lahendusega.
Haavatavad on kõik Elementor Pro pistikprogrammid, mis kasutavad versiooni 3.11.6 või vanemat. RIA soovitab uuendada pistikprogrmm esimesel võimalusel kõige uuemale versioonile.
Apple parandas uute iOSi, iPadOSi ja macOSi versioonidega mitukümmend turvaviga
Apple avalikustas iOS-ist ja iPad OS-ist uue versiooni tähisega 16.4, mis parandab 33 haavatavust. Samuti avalikustati uued macOSi versioonid. MacOS Ventura 13.3 parandab peaaegu 60 haavatavust, macOS Monterey 12.6.4 ja Big Sur 11.7.5 aga enam kui 25 haavatavust.
Mõned parandatud vead on üsna tõsised, kuigi teadaolevalt pole ühtegi haavatavust rünnakutes ära kasutatud. Märkimisväärsemad vead on seotud Safari brauseri WebKiti tarkvaraga ja ka iPhone’i operatsioonisüsteemi kerneliga. Kaks kerneliga seotud nõrkust CVE-2023-27969 ja CVE-2023-27933 võivad lubada ründajal koodi käivitada.
Kui te kasutate tooteid, mis kasutavad iOSi, iPad OSi või macOSi, kontrollige uuenduste olemasolu ja rakendage need esimesel võimalusel.
Microsoft paikas Azure’i mõjutanud turvanõrkuse
Microsoft parandas konfiguratsioonivea, mis mõjutas Azure Active Directory pääsuhaldusteenust. Turvaviga võimaldas mitmetel rakendustel volitamata juurdepääsu. Üks neist rakendustest oli sisuhaldussüsteem, mis toetab Bingi otsingumootorit.
Vea abil ei olnud mitte ainult võimalik muuta otsingutulemusi, vaid käivitada ka suure mõjuga XSS-rünnakuid Bingi kasutajate vastu. Selliste rünnakute abil oleks olnud võimalik kompromiteerida kasutajate isikuandmeid, sealhulgas Outlooki e-kirju ja SharePointi dokumente.