Adobe korjasi pdf-ohjelmiensa vakavia aukkoja
0
Adobe on korjannut vakavia haavoittuvuuksia pdf-asiakirjojen luonti- ja lukuohjelmissaan, jotka pahimmillaan ovat mahdollistaneet vapaavalintaisen koodin ajamisen uhrin koneessa. Aukkoihin hyökätään aktiivisesti, ja siksi päivitykset on syytä asentaa heti,
Ohjelmistoyhtiö korjasi osan haavoittuvuuksista jo aiemmin. Adobea on kuitenkin kritisoitu ongelmien hitaasta korjaamisesta siihen nähden, että pdf-aukkoihin on hyökätty aktiivisesti. Tietoturvayhtiö F-Secure on kehottanut lopettamaan ohjelmien käytön.
Tietoturvareiät ovat Adobe Readerin ja Acrobatin versioissa 7.1.1, 8.1.4 ja 9.1 sekä aikaisemmissa versioissa Macissa, Unixissa ja Windowsissa. Vastaavia haavoittuvuuksia on epäilty muissakin pdf-lukuohjelmissa, joten niidenkin päivitykset on syytä tarkistaa.
Adoben pdf-ohjelmien haavoittuvuudet johtuvat Javascript-koodin käsittelystä getAnnots()- customDictionaryOpen() -kutsuissa. Ennen päivitystä haavoittuvuuksien hyväksikäytön voi estää ottamalla pois käytöstä Javascript-tuen Edit -> Preferences -> Javascript -valikon asetuksista.
Lisätietoa on Adoben tietoturvablogissa ja suomeksi Cert-fi:n haavoittuvuustiedotteessa.
Turva-aukkoja voidaan käyttää hyväksi houkuttelemalla käyttäjä lataamaan haavoittuva hyödyntävä pdf-tiedosto esimerkiksi sähköpostiliitteestä tai webissä. Tämän seurauksena rikolliset voivat päästä ajamaan komentojaan vapasti kohdekoneessa.
