Haavoittunut Adobe Flash päästää hyökkääjät Linuxiin
12
Adobe varoittaa tietoturvatiedotteessaan kriittiseksi luokittelemastaan haavoittuvuudesta Flash Playerin Linux-versiossaan, jota hyödyntävä hyökkääjä voi saada Linux-koneen hallintaansa. Tietoturva-aukko on Flash Playerin versiossa 9.0.151.0 ja aiemmissa, ja Adobe suosittelee päivittämistä saman tien.
Adobe Flash Player on laajasti käytössä nettisivujen mainoksissa ja multimediatoiminnoissa eri selainten laajennuksena.
Myös Viestintäviraston tietoturvayksikkö Cert-fi on julkaissut asiasta haavoittuvuustiedotteen.
Haavoittuvuus on swf-elokuvatiedostojen käsittelyssä. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi päästä ajamaan järjestelmässä omia komentojaan, jos ohjelmistoon ladataan hyökkäystarkoituksessa tehty swf-tiedosto.
Hyökkäyskoodiin haitallisuuteen vaikuttaa olennaisesti se, ajetaanko konetta tavallisen käyttäjän vai ylläpitäjän oikeuksilla. Adobe ei ole julkistanut tarkkoja teknisiä tietoja siitä, miten haavoittivuus koskee eri Linux-jakeluita ja käyttöoikeuksia.
Tietoturva-aukon voi korjata päivittämällä Flash Player for Linux -ohjelmiston versioon
10.0.15.3 tai versioon 9.0.152.0 Adoben Flash-päivityssivuilla.
Adoben sivuilla on myös neuvottu, miten järjestelmän nykyisen Flash-version voi tunnistaa.
Adobe Flash Playerin lisäksi haavoittuvuus on Adobe AIR for Linux -ohjelman beetaversiossa 1.1. Se on syytä päivittää versioon 1.5.
