TIETOTURVA
Juha-Matti Laurio, MikroPC, 23.2.2009, 14:17Näin paikkaat pahan pdf-aukon
Takaporttitroijalaisten hyödyntämään Adobe-haavoittuvuuteen
on julkaistu kolmannen osapuolen ennakkopäivitys.
Paikkauksen toi viikonloppuna saataville tunkeutumisenestojärjestelmiin keskittyneen Sourcefire-yhtiön haavoittuvuustutkimustiimi. Itse paikan on laatinut analysointitiimiä vetävä tutkija Lurene Grenier.
Paikkaus sisältää päivitetyn, ohjelmiston toiminnallisuudesta vastaavan kirjastotiedoston ja se on ladattavissa zip-pakatussa muodossa täältä. Grenierin sunnuntaisen blogikirjoituksen mukaan paikkaus pysäyttää kaikki tällä hetkellä tiedossa olevat hyökkäykset. Liikkeellä saattaa olla kuitenkin muitakin hyökkäystapoja, hän muistuttaa.
Purettu kirjastotiedosto kopioidaan haavoittuvan version päälle Acrobat-sovellushakemistoon, joka on tyypillisesti C:\Program Files\Adobe\Reader 90\Reader\. Toimenpide koskee ainoastaan uusinta 9-tason versiota. Vanhemman 8-version käyttäjien on joko ensin päivitettävä ohjelmistonsa 9.0-versioon tai odotettava virallisen päivityksen julkaisua.
Adobe on luvannut päivityksen uusimpaan 9-versioon keskiviikkona 11. maaliskuuta. Vanhemmat 8- ja 7-versiot päivitetään kyseisen ajankohdan jälkeen erikseen ilmoitettavana ajankohtana.
Kohdennettujen hyökkäysten väline
Tietoturvayhtiöt ovat saanet näytteitä Backdoor-DTJ-troijalaisen sisältävistä vihamielisistä, kohdennetuista pdf-tiedostoista jo toissa viikonloppuna. Kohdennettu hyökkäys tarkoittaa yleensä sähköpostin avulla toteutettua hyökkäystä, jossa yleisien toimisto-ohjelmien liitetiedostolla ujutetaan vakoilijahaittaohjelma uhrin tietokoneelle.
Etukäteen valittuun organisaatioon ja kohdehenkilöön suunnattuja hyökkäyksiä on tehty vajaan kolmen vuoden ajan myös suomalaisorganisaatioihin. Tyypillisesti välineenä ovat kuitenkin olleet Microsoftin Office -ohjelmistot.
Vaihtoehtoisena keinona hyökkäyksiltä suojautumiseen on javascriptin ajamisen estäminen Acrobat-muotoisia dokumentteja avattaessa. Esimerkiksi lomakkeiden täyttöä helpottaviin toimintoihin liittyvä javascript kytketään pois ohjelmiston valikosta Enable Acrobat JavaScript.
Helmikuussa 2007 Adobe Reader -ohjelmiston silloisesta 8.1-versiosta löytyi niin ikään kriittinen aukko, joka mahdollisti haittakoodin ajamisen kohdetyöasemassa. Tuolloin päivityksen valmistuminen kesti peräti kahdeksan kuukautta.
Viestintäviraston Cert-fi-tietoturvayksikkö kehottaa varovaisuuteen pdf-tiedostoja käsitellessä.
