Kerroimme viime viikon lopulla Adobe Acrobatia ja Adobe Readeria koskevista nollapäivähaavoittuvuuksista. Valmistaja vahvisti viikonloppuna paikkauksen julkaisuaikataulun – korjaus saapuu 12. toukokuuta mennessä eli noin viikon kuluttua.

Myös CVE-tunnukset noille kahdelle haavoittuvuudelle on julkaistu. getAnnots()-haavoittuvuus on CVE-2009-1492 ja customDictionaryOpen()-haavoittuvuus taas CVE-2009-1493.

Jokainen haavoittuvuuksiin vähänkin enemmän perehtynyt on törmännyt Common Vulnerabilities and Exposures -yhtenäistystunnuksiin, joita jaetaan tuhansia vuosittain. Tunnuksille annetaan pienellä viiveellä myös sen vakavuutta kuvaava numeroarvo asteikolla 0.0 – 10.0. Pisteytysjärjestelmä tuntee nimen Common Vulnerability Scoring System ja siitä käytetään lyhennettä CVSS. Voidaan puhua myös CVSS-pisteytyksestä.

NVD- eli National Vulnerability Database -tietokannan sisältämä ensin mainitun haavoittuvuuden CVSS-arvo on korkeimpaan High-luokkaan kuuluva 9.3.

Haavoittuvuuksille on jo parin vuoden ajan annettu myös haavoittuvuuden aiheuttaneen ohjelmointivirheen tyyppiä kuvaava CWE-luokitus – Common Weakness Enumeration. Luokka on tässä tapauksessa järjestelmäresurssien hallinnassa tapahtunut virhe tunnuksella 399.

Edellä mainituista jälkimmäinen Adobe Acrobat -aukko eli käyttäjän omiin sanastoihin liittyvä haavoittuvuus puolestaan kuuluu CVSS-arvonsa perusteella keskitasolle arvolla 6.8.

Käytämme CVE-, CVSS- ja CWE-tunnuksia ja -arvoja myös asiakkaille toimittamissamme raporteissa.

Uusia CVE-tunnuksia julkaistaan päivittäin ja samalla haavoittuvuudet saavat CVSS-arvon. CWE-lista taas päivittyi uuteen 1.3-versioon maaliskuussa.

Jeremiah Grossman pohdiskeli viikonloppuna blogissaan yleisimpiä syitä siihen, miksi web-sivustoilta löytyneitä haavoittuvuksia ei korjata.

Hänen listaamiaan syitä ovat mm. seuraavat (ei tärkeys- tai yleisyysjärjestyksessä):

• Organisaatiosta ei löydy henkilöä, jolla on ymmärrystä tai vastuu sivuston koodin ylläpitämisestä

• Sivuston omainaisuuksien säilyttämistä pidetään turvakorjauksia tärkeämpänä

• Sivusto tullaan uusimaan piakkoin

• Haavoittuvan koodin omistaa kolmas osapuoli

Grossmanin mukaan on myös yleistä, että riski sivuston murtamisesta yksinkertaisesti hyväksytään tai organisaation compliance-vaatimukset eivät vain vaadi haavoittuvuuksien korjaamista.

Kaikkein ikävin tilanne on kirjoituksessa viimeksi mainittu tilanne, jossa koko organisaatiosta ei löydy tapauksesta tietävää tai tapauksen vastuulleen ottavaa henkilöä.

Tunnetun tietoturvavaikuttajan ja mm. WASC-konsortion perustajiin kuuluvan Grossmanin pohdiskelu herättää paljon mietittävää. Kirjoituksen kommentteihin jätetty havainto priorisoinnin vaikeudesta on arkipäivää myös Suomen oloissa. Nixun konsultit kohtaavat usein tilanteita, joissa organisaatio ei ole tietoinen kaikista palvelimilta löytyvistä web-sovelluksista. Sovelluksen olemassaolo paljastuu siis vasta kun tietoturvatarkastuksessa löydetään sovelluksesta haavoittuvuuksia.

Mitenkään tavaton ei ole tilanne, jossa tätä kautta organisaation tietoon tulleesta sovelluksesta ovat haavoittuvuudet olleet korjaamatta vuosikausia.

Säännöllisesti tietoturvapäivityksiä jakavien ohjelmistovalmistajien joukko laajenee Adoben siirtyessä kesän aikana vakioituihin tietoturvapäivityksiin. Muutos koskee Adobe Reader - ja Adobe Acrobat -ohjelmistoja. Käytännössä päivitysten jakelupäivä on kunkin vuosineljänneksen toinen tiistai – heinä- ja lokakuussa siis Microsoftin päivityspäivän kanssa sama päivä.

Tieto käy ilmi tällä viikolla ilmestyneestä blogikirjoituksesta, joka kertoo samalla toimijan panostuksista ohjelmakoodin koventamiseen ja incident response -prosessin parantamiseen. Tietoturvayhteisölle uutinen on hyvä ja odotettu – Microsoft ja Oraclehan aloittivat vastaavan jo vuonna 2005.

On ilo nähdä, että Adobe päätyi tiedottamaan aikataulumuutoksesta etukäteen. Adoben mukaan viime maalis- ja toukokuun päivitysjulkaisujen sijoittuminen samalle päivälle Microsoftin ns. tilkkitiistain kanssa on vain sattuma. Brad Arkinin mukaan päivitykset julkaistiin heti niiden valmistuttua.

Adobe kyllä lupasi huhtikuisten nollapäiväaukkojen päivityksen julkaisun tapahtuvan tiettyyn ajankohtaan eli 12.5. mennessä. Koska tarkkaa ajankohtaa ei kuitenkaan ollut tiedossa oli päätöksen tekeminen esimerkiksi rinnakkaisen tuotteen käyttöönotosta tai PDF-dokumenttien suodatuksen laajuudesta vaikeaa.

On mielenkiintoista nähdä, mitä muiden toimijoiden toimintamalleja Adobe ottaa käyttöön ja millä tarkkuudella se ryhtyy päivityksistä etukäteen tiedottamaan. Yksi merkittävä yksityiskohta olisi ainakin se, julkaistaanko päivitys yhtä aikaa englanninkielisen jakelun lisäksi myös eri kieliversioina.