CERT-FI haavoittuvuustiedote 086/2010

5.6.2010

Haavoittuvuus Adobe Reader, Acrobat ja Flash Player -ohjelmistoissa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Adobe Reader, Acrobat ja Flash Player -ohjelmistoista on löytynyt haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista saada haavoittuva sovellus palvelunestotilaan tai suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuus liittyy Adoben Flash Playerin sekä Adobe Reader ja Acrobat -ohjelmistojen SWF (Flash)-sisällön käsittelyyn käytettävän authplay-kirjaston tapaan käsitellä SWF-sisältöä. Haavoittuvuutta voi hyväksikäyttää houkuttelemalla haavoittuvaa sovellusta käyttävä käyttäjä tietyllä tavalla muotoillulle www-sivulle tai houkuttelemalla tämä avaamaan haitallinen PDF-tiedosto. Ohjelmistojen valmistajan mukaan haavoittuvuutta käytetään hyväksi aktiivisesti. Ohjelmiston valmistaja on luokitellut haavoittuvuuden kriittiseksi.

HAAVOITTUVAT OHJELMISTOT:

Adobe Flash Player 10.0.45.2, 9.0.262 ja näitä aikaisemmat 10.0.x ja 9.0.x -sarjan versiot Windows, Macintosh, Linux ja Solaris -alustoilla
Adobe Reader ja Acrobat 9.3.2 ja niitä aikaisemmat 9.x -sarjan versiot Windows, Macintosh, Linux ja Solaris -alustoilla
Adobe AIR 1.5.3.9130 ja aikaisemmat Windows-, Macintosh- and Linux-versiot [Päivitetty 11.6.]

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuteen ei ole olemassa virallista korjauspäivitystä. Haavoittuvuuden vaikutuksia voi Flash Playerin osalta rajoittaa poistamalla Flash-lisäosan käytöstä selaimessa tai asentamalla Flash Playerista version 10.1 Release Candidate (http://labs.adobe.com/technologies/flashplayer10/), joka ei ole haavoittuva.

Adobe Readerin ja Acrobatin osalta haavoittuvuuden vaikutuksia voi rajoittaa poistamalla tai nimeämällä uudelleen haavoittuvan kirjaston. Windows-järjestelmissä kirjasto sijaitsee tyypillisesti hakemistopolussa:

"%ProgramFiles%\Adobe\Acrobat 9.0\Acrobat\authplay.dll"

tai hakemistopolussa:

"%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll".

Mac-tietokoneissa vastaavan kirjaston hakemistopolku on:

"/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/AuthPlayLib.bundle"

ja GNU/Linux-järjestelmissä tyypillisesti:

"/opt/Adobe/Reader9/Reader/intellinux/lib/libauthplay.so"

Päivitetty 11.6. klo 09.45:

Adobe on julkaissut ennakkoilmoituksensa mukaisesti haavoittuvuudet korjaavat ohjelmistopäivitykset ja suosittelee päivittämään Adobe Flash Player- ja Adobe AIR -ohjelmistot seuraaviin versioihin:

Adobe Flash Player 10.1.53.64
Adobe AIR 2.0.2.12610

Niille käyttäjille, jotka eivät jostain syystä voi päivittää Flash Player -ohjelmistoa uusimpaan versioon, Adobe tarjoaa korjattua versiota Flash Player 9 -ohjelmistosta:

Flash Player 9.0.277.0

Flash Player 10.1 for Solaris platforms -ohjelmistosta on julkaistu ennakkoversio, jossa haavoittuvuudet on korjattu.

Päivitetty 30.6. klo 10:00:

Adobe on julkaissut haavoittuvuuden korjaavan ohjelmistopäivitykset Adobe Acrobat- ja Reader-sovelluksiin:

Adobe Reader 9.3.3 ja 8.2.3
Adobe Acrobat 9.3.3 ja 8.2.3

LISÄTIETOA:

PÄIVITYSHISTORIA:

5.6.2010, kello 12.38: Julkaistu
5.6.2010, kello 16.40: Tarkennettu ratkaisu- ja rajoitusmahdollisuudet -osiota
7.6.2010, kello 23.20: Tarkennettu ratkaisu- ja rajoitusmahdollisuudet -osiota
11.6.2010, kello 10.00: Lisätty tieto julkaistuista päivityksistä ja päivitetty CVE-viittaukset
30.6.2010, kello 10.00: Lisätty tieto julkaistuista päivityksistä

Sivua päivitetty 30.06.2010

Tulostusversio