Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2009 > Helmikuu

Helmikuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

27.02.2009

Javascript-tuen poistaminen käytöstä ei täysin estä Adobe Reader -haavoittuvuuden hyväksikäyttöä

Javascript-tuen poistaminen käytöstä on mainittu rajoituskeinona CERT-FI haavoittuvuustiedotteessa 010/2009 kuvattuun haavoittuvuuteen. Tämä rajoitustoimenpide ei kuitenkaan takaa täydellistä suojaa haavoittuvuuden hyväksikäyttöä vastaan.

CERT-FI kertoi haavoittuvuustiedotteessa 010/2009 Adobe Reader- ja Adobe Acrobat -ohjelmistoja koskevasta haavoittuvuudesta. Kyseinen haavoittuvuus mahdollistaa muun muassa hyökkääjän omien komentojen suorittaminen kohteena olevassa järjestelmässä. Haavoittuvuus liittyy Adobe Readerin ja Acrobatin JBIG2-kuvaformaatin käsittelyyn, mutta haavoittuvuuden hyväksikäyttäminen hyökkääjän omien komentojen suorittamiseksi on useimmissa havaituissa ja julkisesti raportoiduissa tapauksissa toteutettu Javascriptia hyödyntämällä. Haavoittuvuuden rajoitusmenetelmäksi mainittu Javascript-tuen poistaminen käytöstä estää edellä mainitun tyyppiset haavoittuvuuden hyväksikäytöt. Tietoturvayhtiä Secunia on kuitenkin blogiartikkelissaan ilmoittanut, että omien tutkimuksiensa perusteella haavoittuvuuden hyväksikäyttö mielivaltaisten komentojen suorittamiseen on mahdollista myös silloin, kun Javascript-tuki on kytketty pois päältä. On siis tärkeää huomioida, että Javascript-tuen poistaminen käytöstä ei vielä suojaa täydellisesti kyseisen haavoittuuden hyväksikäytöltä.

Haavoittuvuuteen on julkaistu myös epävirallinen korjaustiedosto. Kyseisen tiedoston toimivuutta ei ole kuitenkaan yleisesti vahvistettu tietoturvatoimijoiden toimesta eikä korjauksen laatija anna takeita sen toimivuudelle. Korjauksen yhteensopivuutta tai haittavaikutuksia ei ole myöskään tunneta eikä mahdollisiin korjauksen asentamisesta koituviin järjestelmän toimivuusongelmiin välttämättä ole saatavilla tukea. Korjauksen julkaisseen tahon mukaan korjaustiedosto toimii Adobe Reader 9 -ohjelmiston kanssa. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. CERT-FI ei ole tutkinut kyseessä olevaa korjaustiedostoa. Tämä epävirallinen korjaus ja ohje sen asentamiseen on saatavissa osoitteesta:

http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

26.02.2009

Automaattisten haittaohjelmahavaintojen tilastotietoja

Tilastot päivitetty vuoden 2008 osalta

Viestintäviraston julkaiseman ennakkotiedon mukaan Suomessa oli lähes 2,1 miljoonaa laajakaistaliittymää vuoden 2008 lopussa. Tämän ennakkotiedon mukaan CERT-FI on päivittänyt omia Autoreporter-tilastojaan vuoden 2008 osalta.

Laajakaista-asiakkaiden määrään suhteutettuna haittaohjelmahavaintojen määrä näyttäisi pitkällä aikavälillä laskevan. Viime vuonna lasku kuitenkin on hidastunut ja koko vuoden osalta tarkasteltuna suhteutetut luvut ovat pysyneet lähes ennallaan. Tarkemmat tilastot ovat luettavissa CERT-FI:n www-sivulla sekä suomeksi, ruotsiksi että englanniksi.

25.02.2009

Windows Autorun päivittyy

Microsoft julkaisee Windows-käyttöjärjestelmän päivityksen, joka mahdollistaa Autorun-toiminnallisuuden asettamisen pois päältä käyttäjän asetusten mukaisesti ja joka siten auttaa torjumaan esimerkiksi Conficker/Downadup -madon leviämistä USB-muistitikkujen kautta.

Päivityksessä korjataan käyttöjärjestelmää niin, että NoDriveTypeAutoRun -rekisteriavain toimii oikein niin, että sen avulla käyttäjä voi estää Autorun-toiminnallisuuden siirrettäviltä levyasemilta, CD- ja DVD-asemilta, muistitikuilta, verkkolevyiltä tai muilta sellaisilta tallennusvälineiltä, jotka sisältävät tiedostojärjestelmän ja Autorun.inf-tiedoston.

Päivitys jaetaan Windowsin automaattisten päivitysten mukana tai sen voi käydä itse lataamassa Microsoftin palvelusta.

24.02.2009

Matkapuhelinten haittaohjelma leviää tekstiviestien avulla

S60-käyttöjärjestelmän versiota 3 käyttävissä puhelimissa toimiva haittaohjelma leviää lähettämällä käyttäjille tekstiviestejä, joissa kehotetaan lataamaan ja asentamaan "Play Boy"-yhtiön "Sexy View"-sovellus.

Tekstiviestissä olevaa linkkiä seuraamalla käyttäjälle tarjotaan asennettavaksi haittaohjelma. Asennuksen jälkeen ohjelma kerää tietoja puhelimesta ja pyrkii lähettämään ne internet-yhteyden kautta keräilypalvelimelle. Ohjelma pitää yhteyden auki jatkuvasti ja lähettää lisäksi asennuslinkin sisältävän tekstiviestin osoitekirjasta löytyviin puhelinnumeroihin.

Käyttäjälle ohjelmasta aiheutuu riski puhelimesta kerättävien tietojen vuoksi. Auki pidettävä internet-yhteys voi myös aiheuttaa käyttäjälle ylimääräisiä kustannuksia. Ohjelman voi poistaa puhelimesta sen omilla työkaluilla kuten muutkin sovellukset. Ohjelma on allekirjoitettu aidolla Symbian-sertifikaatilla, joten puhelin ei varoita ohjelmasta sitä asennettaessa.

24.02.2009

Verkkomadon päivitysmekanismia on päivitetty

Conficker/Downadup -haittaohjelmasta on liikkeellä uusi versio. Ohjelman päivitystoimintoa on parannettu.

Uusi versio, josta käytetään myös nimeä Conficker B++, sisältää parannetun päivitysmenetelmän, joka ei enää edellytä haittaohjelman päivitystiedostojen asettamista tiettyihin verkkotunnuksiin odottamaan noutamistaan. Tämä vaikeuttaa ohjelman torjumista, sillä sen käyttämien verkkotunnusten ennaltaehkäisevä rekisteröiminen ei enää riitä estämään päivityksiä. Madon leviämis- ja tarttumismekanismit ovat ennallaan.

Haittaohjelman ominaisuuksien päivittäminen voi mahdollistaa sen saastuttamien tietokoneiden etäohjatun käyttämisen monenlaiseen haitalliseen toimintaan.

21.02.2009

Adoben PDF-ohjelmien haavoittuvuus kohteena

Adoben PDF-tiedostojen lukemiseen käytettävien ohjelmistojen haavoittuvuutta käytetään hyväksi haittaohjelmien tartuttamiseksi käyttäjien tietokoneisiin.

PDF-tiedostojen käsittelyssä tulee nyt olla erityisen varovainen. Toistaiseksi saatujen tietojen mukaan haitallisia PDF-tiedostoja on levitetty lähinnä kohdistetuilla jakeluilla. On mahdollista, että haitallisia tiedostoja jaetaan jatkossa myös laajamittaisemmin.

Haittaohjelmatartunnan voi saada esimerkiksi www-sivulta, joka tarjoaa selaimelle haitallista PDF-tiedostoa tai lataamalla ja avaamalla itse haitallinen tiedosto.

Adobe Reader ja Adobe Acrobat

Haavoittuvuutta voi pyrkiä torjumaan poistamalla JavaScript-ominaisuuden käytöstä Adobe Reader tai Adobe Acrobat -ohjelmiston valikosta:

Edit -> Preferences -> JavaScript
poistetaan merkintä kohdasta Enable Acrobat JavaScript

PDF-dokumenttien avaamisen selaimeen voi estää seuraavalla Adobe Readerin asetuksella:

Edit -> Preferences -> Internet
poistetaan merkintä kohdasta Display PDF in browser

Internet Explorer

Internet Explorerin voi estää avaamasta automaattisesti PDF-tiedostoja seuraavalla Windowsin rekisterimuutoksella (tallenna esimerkiksi tiedostoon muutos.REG ja lataa muutos kaksoisklikkaamalla tiedostoa) :

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\AcroExch.Document.7]
"EditFlags"=hex:00,00,00,00


	

	

             		
20.02.2009

	
Internet Explorer 7:ssa olevaa haavoittuvuutta hyväksikäytetään



				Microsoftin MS09-002 -päivitys tulisi asentaa viimeistään nyt
	

				
Microsoft paikkasi viime viikon tiistaina Internet Explorer 7:ssa havaitun kriittisen haavoittuvuuden joka mahdollistaa komentojen mielivaltaisen suorittamisen. Päivitys kulkee nimellä MS09-002. Kerroimme päivityksestä sekä haavoittuvuuden julkisesta hyväksikäytöstä haavoittuvuustiedotteessamme.


Tällä viikolla olemme saaneet julkisesta hyväksikäytöstä lisää tietoja. Raporttien mukaan Internet Explorerissa olevaa haavoittuvuutta hyväksikäytetään Microsoft Word-dokumenttien kautta. Hyväksikäytössä käytetyt Word-dokumentit ovat olleet DOC-päätteisiä vaikka dokumenttien sisältö onkin ollut XML-kielistä. XML-tiedoston seassa on ollut viittaus haavoittuvaan (mm. Internet Explorerin HTML-käsittelystä vastaavaan) mshtml.dll -kirjastoon. Koska kyseinen kirjasto ei suoraan liity Microsoft Word-ohjelmistoon on dokumentin avaaminen täysin päivitetyssä Word-sovelluksessa voinut johtaa työaseman saastumiseen.


Vaikka haavoittuvuutta pääosin on hyväksikäytetty Word-dokumentin kautta, mikään ei estä hyväksikäytön upottamista myös HTML-sivuun sekaan. Tällöin työasema voi saastua pelkästään vierailemalla haitallisella www-sivulla. CERT-FI suosittelee asentamaan MS09-002 päivityksen ensi tilassa.

	

	

             		
13.02.2009

	
Haittaohjelmia ystävänpäivätervehdysten mukana



				
Sähköpostitervehdysten mukana saattaa tänäkin ystävänpäivänä tulla ikäviä yllätyksiä.

	

				
Joulu, vuodenvaihde ja ystävänpäivä ovat haittaohjelmien sesonkia. Ystävänpäivänä lähetetään paljon sähköpostitervehdyksiä, joiden mukaan liitetyissä tiedostoissa voi tulla mukana ikävä yllätys. Myös roskapostin mukana liikkuu paljon linkkejä epäilyttäville sivustoille.
 
Haittaohjelmien levittäjät liittävät sähköisiin postikortteihin ja tervehdyksiin linkkejä, joita seuraamalla käyttäjän tietokone saadaan hallintaan. Tietokonetta voi sen jälkeen etäohjatusti käyttää esimerkiksi roskapostin lähettämiseen tai palvelunestohyökkäyksiin käyttäjän sitä lainkaan huomaamatta.
 
Haittaohjelmia vastaan voi suojautua virustorjuntaan tarkoitetun ohjelmiston ja palomuuriohjelmiston avulla ja välttämällä vähänkin epäilyttäviltä näyttävien sähköpostiviestien sisältämien linkkien seuraamista tai liitetiedostojen avaamista.

	

	

             		
12.02.2009

	
Ryhmittymä muodostettu torjumaan Conficker/Downadup verkkomatoa



				
Tietoturva- ja IT-alan toimijat yhdistävät voimansa torjuakseen Conficker/Downadup-madon.

	

				
Maailmanlaajuisesti miljooniin koneisiin levinnyt, useita satoja suomalaisiakin tietokoneita saastuttaneen Conficker/Downadup verkkomadon torjunnassa on otettu käyttöön astetta rankemmat keinot. Tietoturvatalojen, ohjelmistovalmistajien, erilaisten internet-yhtiöiden ja toimielinten muodostama kansainvälinen ryhmittymä on rekisteröinyt internetosoitteita joita mato käyttäisi nyt ja tulevaisuudessa komentojen ja päivitysten hakemiseen. Madon näihin internetosoitteisiin lähettämät kyselyt voidaan jäljittää ja saastuneiden koneiden omistajiin ottaa yhteyttä.
 
CERT-FI on julkaissut useita Tietoturva Nyt! artikkeleita sekä vuoden 2008 toisen varoituksen, koskien Conficker/Downadup-matoa.

	

	

             		
06.02.2009

	
Microsoftin kuukausittaisessa päivityspaketissa myös kriittisiä päivityksiä



				
Microsoftin kuukausittaisen päivityssyklin sisältämästä neljästä päivityksestä kaksi on luokiteltu kriittisiksi ja kaksi tärkeiksi.

	

				
Yhtiön tiedotteen mukaan Microsoft julkaisee tiistaina 10.2 neljä tietoturvatiedotetta jotka koskevat Microsoftin luokituksen mukaan myös kriittisiä haavoittuvuuksia. Neljällä päivityksellä paikataan Internet Explorer 7:ssä, Exchange-palvelimessa, Microsoft Visiossa sekä Microsoft SQL Serverissä olevia aukkoja.
 
CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville, mikäli mahdollista. Helpoin tapa päivitysten asentamiseen on automaattinen päivitystyökalu.