CERT-FI kertoi haavoittuvuustiedotteessa 010/2009 Adobe Reader- ja Adobe Acrobat -ohjelmistoja koskevasta haavoittuvuudesta. Kyseinen haavoittuvuus mahdollistaa muun muassa hyökkääjän omien komentojen suorittaminen kohteena olevassa järjestelmässä.
Haavoittuvuus liittyy Adobe Readerin ja Acrobatin JBIG2-kuvaformaatin käsittelyyn, mutta haavoittuvuuden hyväksikäyttäminen hyökkääjän omien komentojen tekemiseksi on useimmissa havaituissa ja julkisesti raportoiduissa tapauksissa toteutettu Javascriptia hyödyntämällä. Haavoittuvuuden rajoitusmenetelmäksi mainittu Javascript-tuen poistaminen käytöstä estää tällaiset tyyppiset haavoittuvuuden hyväksikäytöt, CERT-FI kertoo.
Tietoturvayhtiä Secunia on kuitenkin blogiartikkelissaan ilmoittanut, että omien tutkimuksiensa perusteella haavoittuvuuden hyväksikäyttö mielivaltaisten komentojen toteuttamiseen on mahdollista myös silloin, kun Javascript-tuki on kytketty pois päältä.
CERT-FI muistuttaa, että on siis tärkeää huomioida, että Javascript-tuen poistaminen käytöstä ei vielä suojaa täydellisesti haavoittuuden hyväksikäytöltä.
Epävirallinen korjaustiedote
Haavoittuvuuteen on julkaistu myös epävirallinen korjaustiedosto. CERT-FI:n mukaan sen toimivuutta ei ole kuitenkaan yleisesti vahvistettu, eikä korjauksen laatija anna takeita toimivuudelle. Korjauksen yhteensopivuutta tai haittavaikutuksia ei ole myöskään tunneta eikä mahdollisiin korjauksen asentamisesta koituviin järjestelmän toimivuusongelmiin välttämättä ole saatavilla tukea.
Korjauksen julkaisseen tahon mukaan korjaustiedosto toimii Adobe Reader 9 -ohjelmiston kanssa. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. CERT-FI ei ole tutkinut korjaustiedostoa.
