AfterDawn logo

Kriittisiä haavoittuvuuksia Adoben tuotteissa - päivitä heti

Valtteri Ahonen Valtteri Ahonen
5 kommenttia

Adobe on tuoreeltaan julkaissut päivityksiä Adobe Flash Player-, Adobe Shockwave Player-, Adobe Reader- sekä Adobe Acrobat XI -ohjelmistojen Windows- ja Mac-versioihin, kirjoittaa CERT-FI.

Adoben tuotteista on löytynyt useita kriittiseksi luokiteltuja haavoittuvuuksia, joita nyt julkaistut päivitykset korjaavat. Haavoittuvuuksien kerrotaan mahdollistavan haitallisen koodin suorittamisen vasten käyttäjän tahtoa. Yllä mainittujen Windowsin ja Machintosin lisäksi päivitykset tarve koskee Flash Playerin osalta myös Linux- ja Android-versioita.

Tarkempaa tietoa korjauksista löytyy Adoben sivuilta, esimerkiksi Flash Playerin ja Readerin sekä Acrobatin osalta.

Haavoittuvat ohjelmistoversiot, jotka tulisi viipymättä päivittää:

  • Adobe Flash Player 11.8.800.94 ja tätä vanhemmat versiot (Windows ja Macintosh)
  • Adobe Flash Player 11.2.202.297 ja tätä vanhemmat versiot (Linux)
  • Adobe Flash Player 11.1.115.69 ja tätä vanhemmat versiot (Android 4.x)
  • Adobe Flash Player 11.1.111.64 ja tätä vanhemmat versiot (Android 3.x ja 2.x)
  • Adobe AIR 3.8.0.870 ja tätä vanhemmat versiot (Windows ja Android)
  • Adobe AIR 3.8.0.910 ja tätä vanhemmat versiot (Macintosh)
  • Adobe AIR 3.8.0.870 SDK & Compiler ja tätä vanhemmat versiot (Windows)
  • Adobe AIR 3.8.0.910 SDK & Compiler ja tätä vanhemmat versiot (Macintosh)
  • Adobe Shockwave Player 12.0.3.133 ja tätä vanhemmat versiot (Windows ja Macintosh)
  • Adobe Reader XI (11.0.03) ja aiemmat 11.x versiot (Windows ja Macintosh)
  • Adobe Reader X (10.1.7) ja aiemmat 10.x versiot (Windows ja Macintosh)
  • Adobe Acrobat XI (11.0.03) ja aiemmat 11.x versiot (Windows ja Macintosh)
  • Adobe Acrobat X (10.1.7) ja aiemmat 10.x versiot (Windows ja Macintosh)

5 KOMMENTTIA

KalikoJak1/5

Tulee vaan mieleen onko yleensäkin moni näistä aukoista/haavoittuvuuksista tahallisia NSA:n tai vastaavan toimesta. Veikkaisin, että 10% on.

Jouko?2/5

Lainaus, alkuperäisen viestin kirjoitti KalikoJak:

Tulee vaan mieleen onko yleensäkin moni näistä aukoista/haavoittuvuuksista tahallisia NSA:n tai vastaavan toimesta. Veikkaisin, että 10% on.

Enpä kyllä jaksa uskoa että NSA tai muukaan virasto pakottaa turva-aukkojen jättämisen johonkin Adobe Readeriin.


G0lden_Kebab3/5

Lainaus, alkuperäisen viestin kirjoitti KalikoJak:

Tulee vaan mieleen onko yleensäkin moni näistä aukoista/haavoittuvuuksista tahallisia NSA:n tai vastaavan toimesta. Veikkaisin, että 10% on.

No tuskin nyt sentään. vaikka se on totta, että jossakin "tietoturva" softissa ja salauksessa niitä voi hyvinkin olla (tai on).

Vähän offtopic, mutta täytyy mainita kun asia tuli puheeksi, että tuossa joku aika sitten F-Securen tutkimusjohtaja Mikko Hyppönen sanoi twitter tilissään, että häneltä NSA tiedusteli F-secureen mahdollisia Backdooreja, hyppönen sanoi kiltäytyneensä ja kieltäneensä sellaiset. Tämä pyyntö siis tapahtui jo vuonna 1999.
https://twitter.com/mikko/status/376661704530075648

Pistää kummasti miettimään, että kauan on sama homma pyörinyt jos tuohon aikaan olisi joku mennyt tuollaisia väittämään niin foliopää olisi ollut äkkiä.


Noh, täytyypi nuo nyt ainakin päivittää.

friis4/5

Tuli sellanen Déjà vu tunne kun luin uutisen otsikon. :)

KalikoJak5/5

Lainaus, alkuperäisen viestin kirjoitti Jouko?:

Lainaus, alkuperäisen viestin kirjoitti KalikoJak:

Tulee vaan mieleen onko yleensäkin moni näistä aukoista/haavoittuvuuksista tahallisia NSA:n tai vastaavan toimesta. Veikkaisin, että 10% on.

Enpä kyllä jaksa uskoa että NSA tai muukaan virasto pakottaa turva-aukkojen jättämisen johonkin Adobe Readeriin.

Niin no en tiedä Adobe Readeristä, mutta tarkoitin yleensäkin kun softista löytyy tärkeitä tietoturva-aukkoja. Mielestäni on hyvin mahdollista, että 10% kaikista tärkeistä aukoista on jätetty tarkoituksella.

Kun tietää minkälaiset reiät jää helposti huomaamatta normaalissa testauksessa, on samanlaisia reikiä helppo luoda tarkoituksella. Kun tämä Backdoor aikanaan löytyy, se ei näytä tarkouituksella luodulta vaan tavalliselta ohjelmointivirheeltä, mitä ne yleensä siis onkin. Kukaan ei jää kiinni. Menee ehkä jo salaliiton puolelle, mutta periaatteessa ei tarvita kuin tusina taitavia koodareita, jotka vaihtavat "työpaikkaa" parin kolmen vuoden välein ja tekevät tuhojaan matkalla. :)

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki