CERT-FI haavoittuvuustiedote 032/2010

17.2.2010

Päivitykset korjaavat haavoittuvuuksia Adoben Readerissa, Acrobatissa ja Flash Playerissä.

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Adobe Acrobatista ja Adobe Readerista on löytynyt kaksi haavoittuvuutta joista toinen koskee myös Adobe Flash Playeriä. Haavoittuvuuden CVE-2010-0186 avulla hyökkääjän on mahdollista kiertää flash-soittimen suojausmekanismi ja suorittaa sivupyyntöjä selaimen välityksellä käyttäjän selainympäristössä.

Adobe Acrobatin ja Adobe Readerin haavoittuvuuden CVE-2010-0188 avulla hyökkääjä voi kaataa käyttäjän pdf-lukijan tietyllä tavalla muotoillun pdf-tiedoston avulla. Ohjelman kaatuminen voi johtaa hyökkääjän oman ohjelmakoodin suorittamiseen kohdejärjestelmässä. Flash-soittimen päivitys korjaa myös haavoittuvuuden CVE-2010-0187 jonka avulla soitin on mahdollista kaataa.

HAAVOITTUVAT OHJELMISTOT:

• Adobe Reader 9.3 ja aikaisemmat versiot Windowsille, Macintoshille ja Unixille.
• Adobe Acrobat 9.3 ja aikaisemmat versiot Windowsille ja Macintoshille.
• Adobe Flash Player 10.0.42.34 ja aikaisemmat versiot
• Adobe AIR 1.5.3.9120 ja aikaisemmat versiot
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistoversiot korjattuihin. Helpoin tapa päivittää ohjelmistot on käyttää ohjelmien omaa päivitystyökalua. Päivityksen voi myös ladata Adoben internetsivuilta.

LISÄTIETOA:

• CVE-2010-0186, CVE-2010-0187, CVE-2010-0188
• http://www.adobe.com/support/security/bulletins/apsb10-06.html
• http://www.adobe.com/support/security/bulletins/apsb10-07.html
  

PÄIVITYSHISTORIA:

17.2.2010, kello 11.55: Julkaistu

Sivua päivitetty 17.02.2010

Tulostusversio