CERT-FI haavoittuvuustiedote 037/2010

24.2.2010

Adobe Download Manager -ohjelmiston haavoittuvuus

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Adobe Download Manager -ohjelmistosta on löytynyt haavoittuvuus, joka voi mahdollistaa hyökkääjälle siirtää ja asentaa ohjelmistoja kohteena olevaan Windows-järjestelmään.

Haavoittuvaa Download Manager -ohjelmistoa on jaettu ohjelmistojen mukana osoitteista http://get.adobe.com/reader/ (Adobe Reader) ja http://get.adobe.com/flashplayer/ (Flash Player) 23.2.2010 asti.

Download Manager on tarkoitettu kertakäyttöiseksi ohjelmiston lataustyökaluksi ja sen tulisi poistaa itsensä ohjelmiston asentamisen jälkeen käynnistettäessä työasema uudelleen.

HAAVOITTUVAT OHJELMISTOT:

• Adobe Download Manager for Windows (ennen 23.2.2010)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Adobe suosittelee varmistamaan, ettei haavoittuva Download Manager ole edelleen työasemassa ja siinä tapauksessa poistamaan sen Adoben ohjeiden mukaisesti.

Yksi tapa poistaa Download Manager on poistaa palvelu "getPlus(R) Helper" käytöstä ja poistaa sen jälkeen kiintolevyltä kansio %ProgramFiles%\NOS\ (esim. C:\Program Files\NOS\ tai C:\Ohjelmatiedostot\NOS\) ja sen sisältämät tiedostot. Tarkemmat ohjeet löytyvät Adoben tiedotteesta.

LISÄTIETOA:

• http://www.adobe.com/support/security/bulletins/apsb10-08.html
• CVE-2010-0189

PÄIVITYSHISTORIA:

24.2.2010, kello 11.20: Julkaistu

Sivua päivitetty 24.02.2010

Tulostusversio