CERT-FI haavoittuvuustiedote 089/2004

Haavoittuvuuksia Adobe Acrobat Reader -ohjelmistoissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Adobe Acrobat Reader on suosittu PDF (Portable Document Format) -dokumenttien lukemiseen käytetty ohjelmisto. Acrobat Reader ohjelmiston Unix-versiosta sekä Windows ja Mac -versioista on löydetty haavoittuvuus.

Unix versiosta löydetty haavoittuvuus on mailListIsPdf() -funktiossa oleva puskuriylivuoto. Windows ja Mac -versioista löydetty haavoittuvuus liittyy eBook toiminnossa käytettyjen .etd-tiedostojen käsittelyyn. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan ohjelmiston käyttäjän oikeuksilla. Haavoittuvuuksia voidaan hyväksikäyttää sähköpostitse tai www-sivun välityksellä.

HAAVOITTUVAT OHJELMISTOT:

• Adobe Arcobat Reader -ohjelmiston Unix-versio 5.0.9 ja mahdollisesti tätä aikaisemmat versiot.

• Adobe Acrobat Reader -ohjelmiston Windows ja Mac -versio 6.0.2 ja mahdollisesti tätä aikaisemmat versiot.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Adobe-ohjelmiston Unix versio versioon 5.10:

http://www.adobe.com/products/acrobat/readstep2.html

Päivitä haavoittuva Adobe-ohjelmiston Windows tai Mac -versio versioon 6.0.3:

http://www.adobe.com/support/downloads/detail.jsp?ftpID=2679

http://www.adobe.com/support/downloads/detail.jsp?ftpID=2680

Windows-version haavoittuvuudelta voidaan suojautua myös poistamalla järjestelmästä Acrobat Reader ohjelmiston käyttämä eBook.api -tiedosto.

LISÄTIETOA:

• [listan sisältö]

PÄIVITYSHISTORIA:

16.12.2004: Julkaistu

Sivua päivitetty 19.07.2007

Tulostusversio