TigerTeam - suomalainen tietoturvablogi

Pdf-lukijassa tietoturvariski koko kesäkuun – mitä tehdä?

Kirjoitti Juha-Matti Laurio 10. kesäkuuta 2010 2 kommenttia

Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.

Tagit: adobe, tietoturvapäivitys, virustorjunta Delicious Kommentoi (2 kommenttia)

2 kommenttia

Tilaa tämän blogimerkinnän kommentit RSS-syötteenä
  1. Marko Seppänen, 16. Kesäkuuta 2010

    Kävin juuri omaa mikroviestimäistä linkkiviitekatalogiani varten kierroksella, johon sisältyi tusina erilaisia tietoturvablogeja, joihin yhtenä harvoista suomalaisista sellaisista tämäkin voisi tästä edespäin kuulua. Nyt kun olen sopivasti "lämmitellyt" tietoturva-aiheilla, niin minulle nousee mieleen aika herkästi esiin monenkirjavista hyökkäystaktiikoista muodostettavissa oleva ketju. Itseasiassa, jos jonkun tahon aikeena olisi pyrkiä hyökkäämään johonkin tiettyyn organisaatioon, olisiko hänellä välttämättä mikään erityinen kiire? Tuo hyökkäävä tahohan, joka voisi olla "pikkutekijä" tai organisoituneempi villimpää elämää kaipaavista yliopisto-opiskelijoista muodostunut tiimi tai sitten se uutisotsikoihin paremmin istuva "kansainvälinen rikollisliiga", voisi laskea juuri sen varaan, että kohde saavuttaa ensin helpottuneisuuden tunteen, joka syntyy siitä, että "mitään vakavaa ei löytynyt", mutta neljän kuukauden kuluttua organisaation tietokantojen tiedot ovat mystisesti lahonneet, tietokannan tiedot ovat vääristyneet ja validin tiedon parsiminen useista eri backupeista vaatii kuukausien työn - jonka aikana organisaation toiminta on vajaatehoista.

  2. Juha-Matti Laurio, 21. Kesäkuuta 2010

    Mukava kuulla jos blogimme pääsi linkkikokoelmaasi. Pohdiskelusi todistaa esimerkiksi tietoturva-auditointeihin kuuluvan tärkeän faktan: tietoturva ylläpito on jatkuva prosessi ja auditointi kertoo tietoturvan tilan nimenomaan tarkastushetkellä. Jos "mitään vakavaa" ei löydy voi tilanne kuukauden kuluttua olla jo toinen. Tuollainen skenaario voisi olla totta ja mm. kohdistetuissa hyökkäyksissä organisaatio voi tulla tietoiseksi hyökkäyksestä vasta kun tietomurrossa haltuun saatuja tietoja käytetään hyväksi.

Kirjoita kommentti