Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2009 > Helmikuu > Javascript-tuen poistaminen käytöstä ei täysin estä Adobe Reader -haavoittuvuuden hyväksikäyttöä

Tietoturva nyt!

27.2.2009

Javascript-tuen poistaminen käytöstä ei täysin estä Adobe Reader -haavoittuvuuden hyväksikäyttöä

Javascript-tuen poistaminen käytöstä on mainittu rajoituskeinona CERT-FI haavoittuvuustiedotteessa 010/2009 kuvattuun haavoittuvuuteen. Tämä rajoitustoimenpide ei kuitenkaan takaa täydellistä suojaa haavoittuvuuden hyväksikäyttöä vastaan.

CERT-FI kertoi haavoittuvuustiedotteessa 010/2009 Adobe Reader- ja Adobe Acrobat -ohjelmistoja koskevasta haavoittuvuudesta. Kyseinen haavoittuvuus mahdollistaa muun muassa hyökkääjän omien komentojen suorittaminen kohteena olevassa järjestelmässä. Haavoittuvuus liittyy Adobe Readerin ja Acrobatin JBIG2-kuvaformaatin käsittelyyn, mutta haavoittuvuuden hyväksikäyttäminen hyökkääjän omien komentojen suorittamiseksi on useimmissa havaituissa ja julkisesti raportoiduissa tapauksissa toteutettu Javascriptia hyödyntämällä. Haavoittuvuuden rajoitusmenetelmäksi mainittu Javascript-tuen poistaminen käytöstä estää edellä mainitun tyyppiset haavoittuvuuden hyväksikäytöt. Tietoturvayhtiä Secunia on kuitenkin blogiartikkelissaan ilmoittanut, että omien tutkimuksiensa perusteella haavoittuvuuden hyväksikäyttö mielivaltaisten komentojen suorittamiseen on mahdollista myös silloin, kun Javascript-tuki on kytketty pois päältä. On siis tärkeää huomioida, että Javascript-tuen poistaminen käytöstä ei vielä suojaa täydellisesti kyseisen haavoittuuden hyväksikäytöltä.

Haavoittuvuuteen on julkaistu myös epävirallinen korjaustiedosto. Kyseisen tiedoston toimivuutta ei ole kuitenkaan yleisesti vahvistettu tietoturvatoimijoiden toimesta eikä korjauksen laatija anna takeita sen toimivuudelle. Korjauksen yhteensopivuutta tai haittavaikutuksia ei ole myöskään tunneta eikä mahdollisiin korjauksen asentamisesta koituviin järjestelmän toimivuusongelmiin välttämättä ole saatavilla tukea. Korjauksen julkaisseen tahon mukaan korjaustiedosto toimii Adobe Reader 9 -ohjelmiston kanssa. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. CERT-FI ei ole tutkinut kyseessä olevaa korjaustiedostoa. Tämä epävirallinen korjaus ja ohje sen asentamiseen on saatavissa osoitteesta:

http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

Lisätietoa

Sivua päivitetty 27.02.2009   Tulostusversio Tulostusversio