Kyse Javascript-tuen käytöstä poistamisesta - Tietoturva - Ilta-Sanomat

CERT-FI korjailee sanomisiaan Acrobat-haavoittuvuudesta

Viestintäviraston tietoturvayksikkö CERT-FI kertoo, että se on maininnut Javascript-tuen käytöstä poistamisen rajoituskeinona Acrobat Readerin haavoittuvuuteen. Yksikön mukaan muutos ei kuitenkaan takaa täydellistä suojaa haavoittuvuuden hyväksikäyttöä vastaan.

2.3.2009 7:29 | Päivitetty 2.3.2009 8:33

CERT-FI kertoi haavoittuvuustiedotteessa 010/2009 Adobe Reader- ja Adobe Acrobat -ohjelmistoja koskevasta haavoittuvuudesta. Kyseinen haavoittuvuus mahdollistaa muun muassa hyökkääjän omien komentojen suorittaminen kohteena olevassa järjestelmässä.

Haavoittuvuus liittyy Adobe Readerin ja Acrobatin JBIG2-kuvaformaatin käsittelyyn, mutta haavoittuvuuden hyväksikäyttäminen hyökkääjän omien komentojen tekemiseksi on useimmissa havaituissa ja julkisesti raportoiduissa tapauksissa toteutettu Javascriptia hyödyntämällä. Haavoittuvuuden rajoitusmenetelmäksi mainittu Javascript-tuen poistaminen käytöstä estää tällaiset tyyppiset haavoittuvuuden hyväksikäytöt, CERT-FI kertoo.

Tietoturvayhtiä Secunia on kuitenkin blogiartikkelissaan ilmoittanut, että omien tutkimuksiensa perusteella haavoittuvuuden hyväksikäyttö mielivaltaisten komentojen toteuttamiseen on mahdollista myös silloin, kun Javascript-tuki on kytketty pois päältä.

CERT-FI muistuttaa, että on siis tärkeää huomioida, että Javascript-tuen poistaminen käytöstä ei vielä suojaa täydellisesti haavoittuuden hyväksikäytöltä.

Epävirallinen korjaustiedote

Haavoittuvuuteen on julkaistu myös epävirallinen korjaustiedosto. CERT-FI:n mukaan sen toimivuutta ei ole kuitenkaan yleisesti vahvistettu, eikä korjauksen laatija anna takeita toimivuudelle. Korjauksen yhteensopivuutta tai haittavaikutuksia ei ole myöskään tunneta eikä mahdollisiin korjauksen asentamisesta koituviin järjestelmän toimivuusongelmiin välttämättä ole saatavilla tukea.

Korjauksen julkaisseen tahon mukaan korjaustiedosto toimii Adobe Reader 9 -ohjelmiston kanssa. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. CERT-FI ei ole tutkinut korjaustiedostoa.

Osion tuoreimmat

Luitko jo nämä?