Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 015/2006

CERT-FI haavoittuvuustiedote 015/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

10.3.2006

Haavoittuvuuksia Adobe Flash Player -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Adobe Systemsin Flash Player -ohjelmiston avulla www-selain pystyy näyttämään tietyntyyppisiä videoita ja animaatioita. Flash Player -ohjelmistosta on löytynyt useita vakavia haavoittuvuuksia. Haavoittuvuudet koskevat myös joitakin muita Adoben ohjelmistoja, kuten Shockwave Player -ohjelmistoa.

Haavoittuvuudet liittyvät tietyllä tavalla muokattujen SWF-tiedostojen käsittelyyn. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

Microsoft on julkaissut 9.5.2006 tietoturvatiedotteen MS06-020, jossa haavoittuvuudet on luokiteltu kriittisiksi. Microsoft jakaa Flash Player -ohjelmistosta Flash 5 ja Flash 6 -sukupolvien versioita. Näille on julkaistu oma päivitys Windows Update ja Microsoft Update -palvelujen kautta.

HAAVOITTUVAT OHJELMISTOT:

  • Flash Player 8.0.22.0 ja sitä aiemmat versiot

Järjestelmässä olevan Macromedia Flash Player -ohjelmiston version voi tarkistaa Macromedian sivustolla osoitteessa:

http://www.macromedia.com/software/flash/about/

Tarkka listaus haavoittuvista ohjelmistoista ja ohjelmistoversioista on saatavilla Adoben julkaisemasta varoituksesta osoitteessa:

http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html

Vaikka Flash Player on usein käyttäjän itse verkosta järjestelmään asentama ohjelmisto, on kuitenkin huomattava, että kyseinen ohjelmisto asentuu myös joidenkin muiden ohjelmistojen mukana. Esimerkkinä voidaan mainita eräät Windows-käyttöjärjestelmät tai käyttöjärjestelmän päivityspaketit ja selainohjelmistot.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Flash Player -ohjelmisto versioon 8.0.24.0 osoitteesta:

http://www.macromedia.com/go/getflash

Microsoft Windows Update ja Microsoft Update -palveluissa on saatavilla 9.5 alkaen päivitys Flash 5 ja Flash 6 -sarjan Player -ohjelmistolle. LIsätietoja Microsoft-tietoturvatiedotteesta MS06-020. Update- päivityksestä huolimatta on syytä harkita Flash Player -ohjelmiston päivittämistä manuaalisesti versioon 8.0.24.0.

LISÄTIETOA:

http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html

http://www.microsoft.com/technet/security/advisory/916208.mspx

http://secunia.com/advisories/19218/

http://www.microsoft.com/technet/security/Bulletin/MS06-020.mspx

http://support.microsoft.com/kb/913433

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0024

PÄIVITYSHISTORIA:

9.5.2006, klo 23:55: Lisätty tieto Flash 5 ja Flash 6 -sarjan ohjelmistojen päivityksestä Windows Update ja Microsoft Update -palvelujen kautta sekä tieto Microsoft-tietoturvatiedotteesta MS06-020.

PÄIVITYSHISTORIA:

10.03.2006: Julkaistu
09.05.2006: Lisätty tieto Flash 5 ja Flash 6 -sarjan ohjelmistojen päivityksestä Windows Update ja Microsoft Update -palvelujen kautta sekä tieto Microsoft-tietoturvatiedotteesta MS06-020.
 Kommentoi 
Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio