Kirjasimet vaarantavat nyt tietoturvaa
0
Viestintäviraston Cert-fi-yksikkö varoittaa kahdesta kirjasimiin liittyvästä tietoturvauhasta. Toisen aiheuttavat mittaviksi tietoturvariskeiksi nimetyt Adoben pfd-työkalut.
Toinen puolestaan käyttää hyväksi avoimen koodin FreeType-kirjaston haavoittuvuutta. Se tekee hyökkäyksille alttiiksi koneet, joissa käytetään Foxit Readeria. Foxit on ollut monen Acrobatin ongelmiin kyllästyneen valinta.
Adoben Reader- ja Acrobat-sovellusten haavoittuvuuden takana piilee niiden tapa käsitellä TrueType-kirjasimia CoolType.dll -kirjastossa.
Uhri houkutellaan avaamaan tietyllä tavalla muotoiltuja kirjasimia sisältävä pdf-tiedosto. Onnistuessaan hyökkääjä voi suorittaa omia komentojaan koneella.
Erinomaisen ikävää tilanteessa on se, että reikään ei ole paikkaa eikä tiedossa ole muutakaan menetelmää riskien pienentämiseksi. Adobe on luvannut korjauspäivityksen ensi viikoksi.
FreeType vuotaa myös
Kirjasintyyppien käsittelyyn käytetty avoimen lähdekoodin kirjasto FreeType uhkaa myös tietoturvaa. Sen Compact Font Format (CFF) -tyyppisten kirjasinten käsittelystä on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi päästä ajamaan omia komentojaan.
Haavoittuvuuksiin on julkistettu Applen laitteita vastaan toimiva hyväksikäyttömenetelmä. Hyökkäyksen kohteina ovat iPhonet, iPod Touchit ja iPadit.
Uhanalaisiksi ohjelmistoiksi Cert-fi mainitsee seuraavat: FreeType 2.41 ja sitä aikaisemmat versiot, Apple iOS 3.x ja 4.x sarjan versiot sekä Foxit Reader for Windows ennen versiota 4.1.1.080.
Amerikkalaislähteissä vaarassa katsotaan olevan myös Windows-koneiden, joissa käytetään Safari-selainta.
