Digitoday

Valikko

Edes päivitys ei takaa täyttä turvaa: Myös uusimmassa Adobe Flashissä aukkoja

Myös uusimmassa Adobe Flash -ohjelman versiossa on tietoturva-aukkoja, joihin ei ole vielä korjausta. Viestintävirasto on löytänyt Flashin aukkoja käyttäviä tietomurtoja myös Suomesta.
Viestintävirasto suosittelee päivittämistä Adobe Flash -ohjelman uusimpaan versioon ohjelmasta löytyneiden vakavien tietoturva-aukkojen takia. Uusinkaan versio ei silti ole täysin turvallinen, sillä myös siitä on löytynyt vielä korjaamattomia aukkoja, eli niin sanottuja nollapäivähaavoittuvuuksia.

– Se on kuitenkin turvallisempi kuin aiemmat versiot, joten suosittelemme päivitystä, sanoo erityisasiantuntija Jussi Eronen Viestintävirastosta.

– Hyökkääjät käyttävät myös vanhoja haavoittuvuuksia, joten ohjelmistojen pitäminen ajan tasalla pienentää aina hyökkäyksen uhriksi joutumisen riskiä.

Adobe Flashista on tullut viimeisen viikon aikana julki kolme uutta noppapäivähaavoittuvuutta, joiden hyväksikäyttömenetelmiä on jo lisätty myös rikollisten käyttämiin murtotyökaluihin. Adobe on luvannut toimittaa tällä viikolla uuden päivityksen, joka korjaisi myös uusimmat paljastuneet haavoittuvuudet.

Flashin tietoturva-aukot tulivat julkisiksi italialaisen tietomurtoihin erikoistuneen Hacking Team -yrityksen tietomurron jälkeen. Yhtiöstä vietyjä tietoja on julkaistu muun muassa Wikileaks-sivustolla.

Tietomurtoja myös Suomessa

Adoben Flash - tai Shockwave Flash -ohjelmiston aukkoja voidaan käyttää hyväksi saastuttamalla ensin videoita näyttävä verkkosivusto.

– Pari viikkoa oli tilanne, jossa hyökkääjät murtautuivat myös suomalaisille sivustoille. Niitä oli muutamia kymmeniä, Eronen kertoo.

Murretuille sivuille oli upotettu hyökkäyskoodia, joka käytti hyväksi aiempia Flash-haavoittuvuuksia. Rikollisten upottama hyökkäyskoodi tutkii, onko käyttäjän koneen selaimella vaarantunut Flash-sovellus. Hyökkäyskoodilla asennetaan tietoturva-aukon avulla sitten käyttäjän koneelle haittaohjelma. Käyttäjältä ei vaadita mitään toimenpiteitä, vaan haittaohjelma voidaan aukon ansiosta asentaa täysin huomaamatta.

– Teimme itse asiassa kovan homman kun otimme yhteyttä suurimpaan osaan suomalaisista murretuista sivustoista, ja nyt suurin osa näyttää olevan korjattu. Maailmalla näitä murrettuja sivustoja on paljon, Eronen kertoo.

Vaarallisia ovat olleet esimerkiksi useat blogit tai muut sivustot, joissa on käytetty esimerkiksi suosittua WordPress-sisällönhallintaohjelmaa. WordPress-ohjelmassa on ollut useita haavoittuvuuksia, jotka saattavat edelleen olla sivustolla, jos ylläpitäjä ei ole päivittänyt ohjelmaa.

– Hyökkääjät pyrkivät olemaan hyvin huomaamattomia, Eronen kertoo.

– He eivät nimenomaan halua, että ylläpitäjä huomaa, että sivustolla on käyty, vaan pyrkivät jakamaan omia haittalinkkejään eteenpäin. Sivustolle ei välttämättä tehdä mitään näkyviä muutoksia.

Hakkerit pyrkivät luonnollisesti murtautumaan mahdollisimman suosituille sivustoille, jotta haittaohjelmia voitaisiin levittää tehokkaasti mahdollisimman monen käyttäjän koneelle.

– Sivustojen ylläpitäjillä pitäisi olla kirkkaana mielessä, että sivuston perustaminen tuo myös jonkinasteisen vastuun. Moni ei osaa mieltää, että päivitysten jättäminen väliin ei vaaranna vain sivua vaan myös kävijät.

Lisäksi käyttäjiä houkutellaan murretuille sivustoille useilla keinoilla, esimerkiksi jakamalla linkkejä roskaposteilla tai suosittujen blogien kommenteissa.

Näin suojaudut murrolta

Päivitys uusimpaan Adobe Flashin versioon ei vielä takaa täyttä turvaa, mutta se on kuitenkin vanhempia versioita turvallisempi. Flashin voi useimmissa tapauksissa päivittää Flashin lataussivulta, tai selaimen lisäosien hallinnasta. Jos olet epävarma päivititkö jo, Flashin testisivun ”Check Now” -nappi kertoo onko Flash asennettuna ja onko se uusin versio.

Windows-koneilla, Applen Mac-tietokoneissa ja Googlen Chrome -selaimissa pahimmassa vaarassa ovat Adobe Flash -versiot ennen on 18.0.0.203-versiota. Linux-laitteissa suurin vaara on Flash-versioissa ennen numeroa 11.2.202.481. Näistäkin versioista löytyy kuitenkin paikkaamattomia aukkoja.

Selaimissa kannattaa myös ottaa käyttöön automaattinen Click-to-Play -toiminto, jolloin Flash ja muut liitännäiset eivät käynnisty automaattisesti. Ominaisuuden poistaminen käytöstä onnistuu esimerkiki näiden englanninkielisten ohjeiden avulla. Windows-koneilla voi ottaa käyttöön myös Microsoftin EMET -työkalut (Enhanced Mitigation Experience Toolkit).

– EMET ei suinkaan estä haavoittuvuutta, mutta tekee hyödyntämisestä hankalampaa, Eronen sanoo.

– Meillä ei ole tosin kattavasti testattu, toimiiko EMET näihin hyökkäyksiin, se on torjunut valtaosan aiemmista haavoittuvuuksien hyväksikäyttöyrityksistä.

Erosen mukaan EMET-työkalut on sinänsä helppo asentaa, mutta niiden käyttäminen vaatii jonkun verran taitoa.

Yksi keino on myös poistaa Adobe Flash kokonaan pois käytöstä.
Näitä luetaan!
  1. 1

    Nuoren naisen asunnosta levisi karmea haju 48 asunnon taloyhtiöön – löydön puhdistamiseen tarvittiin siirtolava

  2. 2

    Hamiltonin ja Bottaksen ero yli puoli sekuntia – Mercedeksen tallipomo ihmeissään

  3. 3

    Syövän voittanut äiti synnytti kaksoset, kuoli seuraavana päivänä

  4. 4

    IS testasi 17 kesän uutuusjäätelöä: ”Tätä söisi yksin koko purkin”

  5. 5

    Silminnäkijä ilmoitti yöllä poliisille: pikkupoika ulkona pelkissä alusvaatteissa – etsinnät käynnistettiin heti

  6. 6

    Katso video! Toista lastaan odottava prinsessa Sofia edusti häikäisevän upeana tulenpunaisessa iltapuvussa

  7. 7

    Ei työkokemusta, palkka liki 4 000 euroa – näissä ammateissa saa heti hyvät ansiot

  8. 8

    Yle: Vilkkaan moottoritien kolarisuma hämmästyttää – ”kortti pois -vauhtia”, peltipoliisi valvomaan?

  9. 9

    Tosi-tv-tähdet viettivät vuoden metsässä – eivät tienneet, että sarjan esittäminen oli lopetettu kesken kaiken

  10. 10

    Tosi-tv-kaunottaren, 25, karu tilitys – pilasi ulkonäkönsä kauneusleikkauksilla: ”Miksi tein sen?”

  11. Näytä lisää
  1. 1

    Teinityttö julkaisi hervottoman kuvaparin äidistään kostean illanvieton jälkeen – kiusallinen kuva villitsee somessa: ”Lauantai ja sunnuntai”

  2. 2

    Tosi-tv-tähdet viettivät vuoden metsässä – eivät tienneet, että sarjan esittäminen oli lopetettu kesken kaiken

  3. 3

    Antavasti pukeutunut nainen ja kuokka aiheuttivat uskomattoman tapauksen taloyhtiössä – isännöitsijä joutui puuttumaan

  4. 4

    Suomen suurin maataloustuki oli 2 277 186 € – katso lista jättitukien saajista

  5. 5

    Nuori nainen kuoli kesähelteellä kotisohvalle – vainajien asuntoja siivoava Riitta kertoo uransa rankimmasta keikasta

  6. 6

    Heikki Paasosen twiitti raivostuttaa somessa – tästä on kyse

  7. 7

    Rouva Tellervo Koiviston koskettavat sanat: ”Ilman Maunon kaatumista olisimme olleet kotona yhdessä loppuun asti”

  8. 8

    Kivulias sairaus, josta moni kärsii tietämättään – 12 tyypillisintä oiretta

  9. 9

    Ei työkokemusta, palkka liki 4 000 euroa – näissä ammateissa saa heti hyvät ansiot

  10. 10

    HS: Toni, 41, meni flunssan vuoksi lääkäriin – sai tietää sairastavansa aidsia

  11. Näytä lisää
  1. 1

    Pesukoneen takaa tuli hirveä haju – huoltomiehen löytö kertoo karua kieltä suomalaisten uusavuttomuudesta

  2. 2

    11 kyytä köllötteli rinteessä – asiantuntija kertoo, kuinka käärmeistä pääsee eroon: ”Se ei tule ikinä takaisin”

  3. 3

    Uusi ennuste: Poikkeuksellinen lämpöaalto vyöryy Suomeen – keskimäärin vain noin kolme kertaa sadassa vuodessa

  4. 4

    Rovaniemen junan lähtö viivästyi yllättäen – konduktööriltä kylmäävä kuulutus: ”Junassa on vakava henkeä uhkaava tilanne”

  5. 5

    IS seurasi tapahtumien etenemistä: Terrori-isku parlamentin luona Lontoossa – 4 kuoli

  6. 6

    Suomen tunnetuin bordelli pyöri Riihimäellä – rattohotelli Bonanzan henkilökunnalla suora ohje lapsiperheiden varalle

  7. 7

    Teinityttö tervehti tuntematonta miestä koulumatkalla – siitä käynnistyi painajainen

  8. 8

    Teinityttö julkaisi hervottoman kuvaparin äidistään kostean illanvieton jälkeen – kiusallinen kuva villitsee somessa: ”Lauantai ja sunnuntai”

  9. 9

    Uusi kansantauti? ”Sairastuneita on Suomessa nyt noin 44 000, ja joka vuosi reilut 2000 sairastuu”

  10. 10

    Prinssi Williamin uudenlainen käytös huolestuttaa kehonkielen asiantuntijaa – jännittyneet välit Catherinen kanssa: ”Kuin temppujaan katuva koira”

  11. Näytä lisää
Näitä luetaan!
  1. 1

    Nuoren naisen asunnosta levisi karmea haju 48 asunnon taloyhtiöön – löydön puhdistamiseen tarvittiin siirtolava

  2. 2

    Hamiltonin ja Bottaksen ero yli puoli sekuntia – Mercedeksen tallipomo ihmeissään

  3. 3

    Syövän voittanut äiti synnytti kaksoset, kuoli seuraavana päivänä

  4. 4

    IS testasi 17 kesän uutuusjäätelöä: ”Tätä söisi yksin koko purkin”

  5. 5

    Silminnäkijä ilmoitti yöllä poliisille: pikkupoika ulkona pelkissä alusvaatteissa – etsinnät käynnistettiin heti

  6. Näytä lisää
  1. 1

    Teinityttö julkaisi hervottoman kuvaparin äidistään kostean illanvieton jälkeen – kiusallinen kuva villitsee somessa: ”Lauantai ja sunnuntai”

  2. 2

    Tosi-tv-tähdet viettivät vuoden metsässä – eivät tienneet, että sarjan esittäminen oli lopetettu kesken kaiken

  3. 3

    Antavasti pukeutunut nainen ja kuokka aiheuttivat uskomattoman tapauksen taloyhtiössä – isännöitsijä joutui puuttumaan

  4. 4

    Suomen suurin maataloustuki oli 2 277 186 € – katso lista jättitukien saajista

  5. 5

    Nuori nainen kuoli kesähelteellä kotisohvalle – vainajien asuntoja siivoava Riitta kertoo uransa rankimmasta keikasta

  6. Näytä lisää
  1. 1

    Pesukoneen takaa tuli hirveä haju – huoltomiehen löytö kertoo karua kieltä suomalaisten uusavuttomuudesta

  2. 2

    11 kyytä köllötteli rinteessä – asiantuntija kertoo, kuinka käärmeistä pääsee eroon: ”Se ei tule ikinä takaisin”

  3. 3

    Uusi ennuste: Poikkeuksellinen lämpöaalto vyöryy Suomeen – keskimäärin vain noin kolme kertaa sadassa vuodessa

  4. 4

    Rovaniemen junan lähtö viivästyi yllättäen – konduktööriltä kylmäävä kuulutus: ”Junassa on vakava henkeä uhkaava tilanne”

  5. 5

    IS seurasi tapahtumien etenemistä: Terrori-isku parlamentin luona Lontoossa – 4 kuoli

  6. Näytä lisää