Paikkauksen tuloa ei voi nopeuttaa

Kirjoitti inspect 30. huhtikuuta 2009

Tällä viikolla on raportoitu kahdestakin yleisesti käytössä olevan Adobe Readerin haavoittuvuudesta. Sekä getAnnots()- että customDictionaryOpen()-haavoittuvuuksiin on julkiset hyväksikäyttömenetelmät saatavilla Linux-ympäristöön.

Helmikuussa eli tarkalleen 19.2. julkisuuteen tulleessa JBIG2-tapauksessa (CVE-2009-0658) korjaus tuli saataville maaliskuun toisella viikolla eli noin kolmessa viikossa. Unix-versiot puolestaan julkaistiin vasta kahta viikkoa myöhemmin. Nyt tilanne on toinen, koska valmistaja ei ole kertonut korjatun version julkaisuajankohtaa.

Myös tuolloin useita sekä julkisia että penetraatiotyökaluja tuottavien toimijoiden maksullisia expoit-koodeja julkaistiin.

Käytännössä korjausta odottaessa on mahdollista mm. estää sovelluksen käyttö, siirtyä vaihtoehtoiseen tuotteeseen, rajoittaa hyväksikäyttöä esim. asetusmuutoksilla tai luottaa virustorjunta- ja tunkeutumisenestosuojaan. Acrobat-tapauksessa valmistaja suosittelee Acrobat JavaScriptin poiskytkemistä ohjelmiston valikoista.

Viikkoja kestävä ajanjakso on pitkä aika tilanteessa, jolloin varsinkaan tarkkaa päivityksen julkaisuaikaa ei ole etukäteen tiedossa. Mikäli organisaatio käyttää suomenkielisiä sovellusversioita voi laajaltikin käytössä olevan sovelluksen päivityksen odottaminen kestää jopa kuukausia.

JavaScriptin poiskytkentää ei tule jättää ohjeistuksen varaan ja käyttäjien itsensä toteutettavaksi. Keskitetty asetusmuutos takaa sen, että asetus tulee kattavasti käyttöön niin Windows-, Linux- kuin Mac-työasemissakin.

CVE-2009-0658:n CVSS-arvo oli peräti 9.3. Uusista JavaScript-metodiaukoista arvoja ei ole vielä saatavilla.

Ongelma joka sekä Acrobatista että Adobe Readerista odottaa paikkausta kuuluu CWE-luokituksessa luokkaan CWE-119 eli Failure to Constrain Operations within the Bounds of a Memory Buffer – samaan kuin JBIG2-haavoittuvuuskin.

Helmikuussa JBIG2-haavoittuvuutta hyödynsi myös yritysvakoilutapauksista tuttu Trojan.Pidief-kategorian takaporttitroijalainen. Kerromme tässä blogissa mikäli vastaavista troijalaisista saadaan nyt viitteitä.