Uutisarkisto

VxWork-käyttöjärjestelmän haavoittuvuus – päivitetty 3.10.2019

VxWorks-käyttöjärjestelmässä on havaittu 11 haavoittuvuutta, joille on annettu nimi "URGENT/11" (CVE-2019-12255–CVE-2019-12265). Olemme saaneet selville, että VxWorks-käyttöjärjestelmän IPnet TCP/IP -pino on käytössä myös muissa reaaliaikaisissa käyttöjärjestelmissä. Tämä tarkoittaa, että laajempi joukko tuotteita voi altistua näille haavoittuvuuksille (CVE-2019-12255, CVE-2019-12262 ja CVE-2019-12264).

Monet vanhat eurooppalaiset tuotemallit voivat olla haavoittuvaisia tälle ongelmalle, koska ne voivat käyttää virheellistä IPnet TCP/IP -pinoa:

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Turvallisuustiedote Canonin digitaalikameroissa käytettävän Picture Transfer Protocolin (PTP) yhteystoimintoja ja ohjelmistopäivityksiä koskevasta haavoittuvuudesta – [lisätty 6.8.2019]

Kiitos, että käytät Canon-tuotteita.

Kansainvälinen tietoturva-asiantuntijatiimi on ilmoittanut haavoittuvuudesta, joka liittyy Canonin digitaalikameroissa käytettävän Picture Transfer Protocolin (PTP) kautta kulkeviin yhteyksiin. Se on myös löytänyt laiteohjelmistopäivityksiin liittyvän haavoittuvuuden.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

Näiden haavoittuvuuksien vuoksi kolmannen osapuolen hyökkäys kameraan on mahdollinen, jos kamera on yhdistetty tietokoneeseen tai mobiililaitteeseen, joka on kaapattu suojaamattoman verkon kautta.

Vahvistettuja tapauksia, joissa näitä haavoittuvuuksia olisi hyödynnetty, ei ole tiedossa. Jotta asiakkaamme kuitenkin voisivat käyttää tuotteitamme turvallisesti, haluamme tässä kertoa ratkaisuista ongelmaan.

• Varmista, että kameraan yhdistettyjen laitteiden, kuten tietokoneen, mobiililaitteen tai reitittimen, tietoturva-asetukset ovat asianmukaiset.
• Älä liitä kameraa tietokoneeseen tai mobiililaitteeseen, jota on käytetty suojaamattomassa verkossa, kuten ilmaisessa Wi-Fi-verkossa.
• Älä yhdistä kameraa tietokoneeseen tai mobiililaitteeseen, joka on mahdollisesti saanut viruksen.
• Poista kameran verkkotoiminnot käytöstä, kun niitä ei käytetä.
• Lataa virallinen laiteohjelmisto Canonin verkkosivustosta, kun päivität kameran laiteohjelmiston.

Tietokoneita ja mobiililaitteita käytetään yhä useammin suojaamattomissa (ilmainen Wi-Fi) verkoissa, joissa asiakkaat eivät tiedä verkon suojauksesta. Kuvien siirtäminen kamerasta mobiililaitteeseen Wi-Fi-yhteyden kautta on yhä suositumpaa, joten haluamme tuoda saataville laiteohjelmistopäivityksiä seuraaville Wi-Fi-yhteystoimintoja sisältäville malleille:

Nämä haavoittuvuudet vaikuttavat seuraaviin EOS-sarjan digitaalisiin järjestelmäkameroihin ja peilittömiin kameroihin:

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 Jos käytössä on Wi-Fi-sovitin tai langaton lähetin, Wi-Fi-yhteys voidaan muodostaa.

^*2 Haavoittuvuudet koskevat myös Ethernet-liitäntöjä.

Laiteohjelmiston päivitystiedot annetaan jokaiselle tuotteelle vuorotellen, alkaen tuotteista, joiden valmistelut on tehty.

uniFLOW-todennusongelma – päivitetty 19.3.2019

Hotfix-korjauksen asennusohjeet ovat täällä. 

Olemme sitoutuneet tuottamaan asiakkaillemme tietoturvallisia ratkaisuja. Pahoittelemme tilanteesta mahdollisesti aiheutunutta haittaa. Saat tarvittaessa lisätietoja tästä tiedotteesta paikallisesta Canon-toimistosta, valtuutetulta jälleenmyyjältä tai Canonin tukipalvelusta. Ilmoita mahdollisista epäilyttävistä tapahtumista viipymättä asiakaspäällikölle ja IT-osastolle. 

Faksien haavoittuvuus – lisätty 31.8.2018 

Viimeaikoina tutkijat ovat raportoineet tiettyjen tuotteiden faksiominaisuuksien viestintäprotokollissa ilmenneitä haavoittuvuuksia. (CVE-ID: CVE-2018-5924, CVE 2018-5925). Lisätietoja haavoittuvuuksien vaikutuksista faksiominaisuudella varustettuihin Canon-tuotteisiin on alla:

Canon-tuotteissa ei käytetä haavoittuvuuksissa hyödynnettyä G3-värifaksiprotokollaa, joten Canonin arvion mukaan haavoittuvuus ei koske seuraavia tuotteita: imageRUNNER/iR-, imageRUNNER ADVANCE-, LASER CLASS-, imagePRESS-, FAXPHONE-, GP- ja imageCLASS/i-SENSYS -sarjan mallit, joissa on faksiominaisuus.

MAXIFY- ja PIXMA-sarjojen faksiominaisuudella varustetuissa tuotteissa käytetään G3-värifaksiprotokollaa. Canon ei kuitenkaan ole todennut, että fakseissa käytettäisiin vahingollista koodia tai että näihin laitteisiin tallennetut tiedot olisivat vaarassa.

Jatkamme tilanteen seuraamista ja ryhdymme tarvittaviin toimenpiteisiin taataksemme laitteidemme turvallisuuden.

Suorittimien haavoittuvuus Spectre- ja Meltdown-hyökkäyksille – lisätty 8.3.2018

Intelin, AMD:n ja ARM:n suorittimiin liittyvistä haavoittuvuuksia tiedotettiin hiljattain. Näissä suorittimissa suorituskykyä parannetaan ennakoivalla suorituksella. Haavoittuvuuksia hyödyntävä hyökkääjä saattaa päästä luvattomasti käsiksi yksityisen välimuistin sisältöön.

Havaitut kaksi haavoittuvuustyyppiä käyttävät eri tekniikoita ennakoitavan suorituksen toimintojen hyödyntämiseen tietyissä suorittimissa. Nämä haavoittuvuudet ovat CVE-2017-5715, CVE-2017-5753: “Spectre” ja CVE-2017-5754: “Meltdown”.

Haavoittuvuudet saattavat vaikuttaa seuraaviin Canonin ulkoisiin ohjaintuotteisiin. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon valmistelee korjauksia, joiden avulla asiakkaat voivat huoletta jatkaa tuotteidemme käyttöä.

ColorPASS: 
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1

imagePASS: 
U1 v1.1, U1 v1.1.1, U2 v1.0 
Y1 v1.0, Y2 v1.0

imagePRESS CR -palvelin: 
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1

imagePRESS-palvelin: 
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0 
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0 
F200 v1.21, H300 v1.0 
J100 v1.21, J200 v1.21 
K100 v1.0, K200 v1.0 
Q2 v2.0, Z1 v1.0

Haavoittuvuudet saattavat vaikuttaa seuraavaan Canon-palveluun. Vaikka näiden haavoittuvuuksien hyödyntämistapoja ei ole tällä hetkellä tiedossa, Canon on korjannut ongelman helmikuussa 2018.

MDS Cloud

Näillä haavoittuvuuksilla ei ole vaikutuksia eikä tunnettuja hyödyntämistapoja mihinkään Canon-lasertulostimiin tai niihin liittyviin ohjelmistotuotteisiin edellä mainittua lukuun ottamatta. Asiakkaat voivat jatkaa tuotteidemme käyttämistä luotettavasti.

Canon pyrkii jatkuvasti takaamaan korkeimman mahdollisen turvatason kaikissa tuotteissa ja ratkaisuissa. Otamme asiakkaidemme tietoturvan vakavasti, ja sen suojaaminen on meille ensisijaisen tärkeää.

Haavoittuvuus Wi-Fi-salausprotokollassa WPA2 – 16.1.2018 

Tutkija paljasti äskettäin haavoittuvuuden langattoman lähiverkon (Wi-Fi) WPA2-salausprotokollassa. Haavoittuvuudesta johtuen hyökkääjä voi kaapata asiakaslaitteen (laite, jossa on Wi-Fi-toiminto) ja tukiaseman (esim. reititin) välisen langattoman tiedonsiirron ja aiheuttaa vahinkoa. Haavoittuvuutta ei voi käyttää hyväksi Wi-Fi-kantaman ulkopuolella tai internetin välityksellä. 

Emme ole vielä pystyneet vahvistamaan, onko haavoittuvuus aiheuttanut ongelmia Canon-tuotteiden käyttäjille. Suosittelemme kuitenkin seuraavia toimenpiteitä, jotta asiakkaamme voivat rauhassa jatkaa tuotteidemme käyttöä: 
• Liitä yhteensopivat laitteet suoraan verkkoon USB-kaapelilla tai Ethernet-kaapelilla. 
• Salaa tiedonsiirto laitteissa, joissa salaus (TLS/IPSec) on mahdollista. 
• Käytä fyysisiä tallennusvälineitä, kuten SD-kortteja. 
• Käytä Suora langaton yhteys- ja Suora yhteys -asetuksia.

Ominaisuuksien käyttö ja toiminnot vaihtelevat laitteittain. Katso tarkemmat tiedot laitteen käyttöohjeesta. Suosittelemme myös tekemään tarvittavat toimenpiteet tietokoneessasi ja älypuhelimessasi. Lisätietoja laitekohtaisista toimenpiteistä saat laitteen valmistajalta.