Nestin turvallisuustiedote – elokuu 2022

Julkaistu 9.8.2022

Tässä Nestin turvallisuustiedotteessa kerrotaan tietoturvahaavoittuvuuksista, jotka ovat aiemmin vaikuttaneet Google Nestin älykkään kodin laitteisiin. Tässä tiedotteessa mainitut haavoittuvuudet on korjattu. Laitteet alkavat vastaanottaa over-the-air (OTA) ‑päivityksiä samassa kuussa, kun tiedote julkaistaan.

Tietoturvapäivitykset

Haavoittuvuudet ryhmitellään laiteperheryhmän ja haavoittuvina olleiden osien perusteella. Näet ongelman kuvauksen ja CVE:n sisältävän taulukon, siihen liittyvät viittaukset, haavoittuvuuden tyypin ja vakavuuden.

Haavoittuvuudet perustuvat yleisten haavoittuvuuksien ja altistumisten (CVE) nimeämisstandardiin ja ne on järjestetty vakavuuden perusteella. Vakavuus määritetään yleisen haavoituvuuksien pisteytysjärjestelmän (CVSS) perusteella.

Home/Cast

Laiteohjelmistoversio 1.56.3.

Laiteohjelmistolla tarkoitetaan Google Nest- tai Home‑kaiuttimeen tai ‑näyttöön asennettua ohjelmistoa. Kun laiteohjelmiston päivitys tulee saataville, laitteesi lataa sen automaattisesti over-the-air (OTA) ‑päivityksenä.

Kernel

CVE	Tyyppi	Vakavuus
CVE-2019-14901	RCE	Kriittinen
CVE-2021-33909	EoP	Korkea
CVE-2019-11487	EoP	Korkea
CVE-2017-0403	EoP	Korkea
CVE-2017-0794	EoP	Korkea
CVE-2019-2214	EoP	Korkea
CVE-2020-29661	EoP	Korkea
CVE-2021-0512	EoP	Korkea

Cast

Tämä osio sisältää Castiin liittyvät Chromium-haavoittuvuudet.

CVE	Tyyppi	Vakavuus
CVE-2021-30571	EoP	Kriittinen
CVE-2021-21201	EoP	Kriittinen
CVE-2021-21223	EoP	Kriittinen
CVE-2022-0097	EoP	Kriittinen
CVE-2021-30518	RCE	Korkea
CVE-2021-30516	EoP	Korkea
CVE-2021-30515	RCE	Korkea
CVE-2021-30510	RCE	Korkea
CVE-2021-21225	RCE	Korkea
CVE-2021-30508	RCE	Korkea
CVE-2021-21203	RCE	Korkea
CVE-2021-21202	EoP	Korkea
CVE-2021-21205	EoP	Korkea
CVE-2021-30523	RCE	Korkea
CVE-2021-38006	RCE	Korkea
CVE-2022-0456	RCE	Korkea
CVE-2021-4057	EoP	Korkea
CVE-2021-30567	RCE	Korkea
CVE-2022-0298	RCE	Korkea
CVE-2022-0453	EoP	Korkea
CVE-2021-30590	RCE	Korkea
CVE-2021-38011	RCE	Korkea
CVE-2022-0293	RCE	Korkea
CVE-2021-38005	RCE	Korkea
CVE-2021-37984	RCE	Korkea
CVE-2022-0100	RCE	Korkea
CVE-2021-30541	RCE	Korkea
CVE-2021-30599	RCE	Korkea
CVE-2021-38003	RCE	Korkea
CVE-2021-38001	RCE	Korkea
CVE-2021-30551	RCE	Korkea
CVE-2021-30598	RCE	Korkea
CVE-2021-38007	RCE	Korkea
CVE-2021-37979	RCE	Korkea
CVE-2021-4079	RCE	Korkea
CVE-2020-6514	RCE	Keskitaso
CVE-2021-21222	EoP	Keskitaso
CVE-2021-38009	ID	Keskitaso
CVE-2021-21221	ID	Keskitaso

WLAN

CVE	Tyyppi	Vakavuus
CVE-2020-11264	EoP	Kriittinen
CVE-2020-26146	ID	Keskitaso
CVE-2020-26145	EoP	Keskitaso
CVE-2020-26144	EoP	Keskitaso
CVE-2020-26140	EoP	Keskitaso
CVE-2020-26143	EoP	Keskitaso
CVE-2020-26139	DoS	Keskitaso
CVE-2020-26141	ID	Keskitaso

Sekalaiset

CVE	Tyyppi	Vakavuus
CVE-2021-3517	ID	Korkea
CVE-2021-3518	RCE	Korkea
CVE-2021-45960	DoS	Korkea
CVE-2019-12749	EoP	Korkea

Yleisiä kysymyksiä ja vastauksia

Tässä osiossa vastataan yleisiin kysymyksiin, joita saattaa herätä tiedotteen lukemisen jälkeen.

1. Miten selvitän, onko laitteeni päivitetty näiden ongelmien ratkaisemiseksi?

Laitteen laiteohjelmistoversion tarkistaminen

2. Mitä Tyyppi-sarakkeen merkinnät tarkoittavat?

Haavoittuvuustietotaulukon Tyyppi-sarakkeessa olevat merkinnät viittaavat turvallisuushaavoittuvuuden luokitteluun.

Lyhenne	Määritelmä
RCE	Koodin suorittaminen etänä (remote code execution)
EoP	Oikeuksien laajentuminen (elevation of privilege)
ID	Tietojen luovutus (information disclosure)
DoS	Palvelunesto (denial of service)
–	Luokittelua ei saatavilla

Ohjeet ja tuki

Pyydä apua Google Nest ‐yhteisön asiantuntijoilta tai ota meihin yhteyttä.