CERT-FI haavoittuvuustiedote 032/2009

29.4.2009

Haavoittuvuuksia Adobe Reader ja Adobe Acrobat -ohjelmistoissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Adobe on varoittanut kahdesta haavoittuvuudesta Adobe Reader ja Acrobat -ohjelmistoissa. Haavoittuvuudet liittyvät Adobe-ohjelmistojen tapaan käsitellä JavaScript-koodin getAnnots() sekä customDictionaryOpen() -kutsuja. Haavoittuvuuksia voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu PDF-tiedosto. Onnistunut hyväksikäyttö voi mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

• Adobe Reader ja Acrobat 9.1 sekä aikaisemmat versiot (Windows, Unix, Mac)
• Adobe Reader ja Acrobat 8.1.4 sekä aikaisemmat versiot (Windows, Unix, Mac)
• Adobe Reader ja Acrobat 7.1.1 sekä aikaisemmat versiot (Windows, Mac)

Haavoittuvuudet saattavat koskettaa myös muiden valmistajien PDF-tiedostoformaattia käsitteleviä tuotteita.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmistot automaattisella päivityspalvelulla tai ohjelmistotoimittajan tiedotteessa olevien ohjeitten mukaisesti.

Haavoittuvuuksien hyväksikäyttöä voi rajoittaa sammuttamalla JavaScript-tuen Adobe-ohjelmistoista. CERT-FI on julkaissut erillisen Tietoturva nyt! -artikkelin siitä, miten JavaScript-tuki sammutetaan Adoben PDF-ohjelmista.

LISÄTIETOA:

• http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html
• http://www.adobe.com/support/security/bulletins/apsb09-06.html

PÄIVITYSHISTORIA:

29.4.2009, kello 9.00: Julkaistu

4.5.2009, kello 9.30: Lisätty tieto päivitysaikataulusta

13.5.2009, kello 11:35: Lisätty tieto päivityksistä

Sivua päivitetty 13.05.2009

Tulostusversio