flash nollapäivähaavoittuvuus

[kubu]

TIETOTURVA
Vesa Linja-aho, MikroPC, 7.6.2010, 7:55
Flashissa erittäin vakava nollapäivähaavoittuvuus — ei koske vain Windowsia

Adoben suosituista Flash Player, Reader ja Acrobat -ohjelmistoista on löytynyt vakava tietoturva-aukko. Kyseessä on nollapäivähaavoittuvuus, eli aukkoon ei ole vielä saatavilla korjaavaa tietoturvapäivitystä.

Flash on erittäin käytetty tekniikka verkkosivustoilla. Suurimmalla osalla käyttäjistä lienee Flash Player -lisäosa asennettuna verkkoselaimessaan, joten riski koskee lähes kaikkia verkkosurffaajia.

Tietoturvaviranomainen Cert-fi kertoo tiedotteessaan, että haavoittuvia ovat Adoben Flash Playerin versiot 10.0.45.2 ja 9.0.262 sekä näitä aikaisemmat 10.0.x ja 9.0.x -sarjan versiot Windows, Macintosh, Linux ja Solaris -alustoilla. Myös Adobe Reader ja Acrobat 9.3.2 ja niitä aikaisemmat 9.x -sarjan versiot Windows, Macintosh, Linux ja Solaris -alustoilla ovat haavoittuvia.

Adoben tiedotteen mukaan haavoittuvuus mahdollistaa tietokoneen haltuun ottamisen ja sitä käytetään aktiivisesti hyväksi. Hyväksikäyttö tapahtuu esimerkiksi houkuttelemalla käyttäjä saastuneelle www-sivulle tai avaamaan haittakoodia sisältävä pdf-tiedosto.

Flash-aukolta voi suojautua poistamalla selaimen Flash-lisäosan käytöstä. Adoben tiedotteen mukaan myöskään Flash Playerin 10.1 release candidate -versiossa ”ei näyttäisi olevan” kyseistä haavoittuvuutta.

Tuollasta varottelevat, mulla on ubuntussa juuri tuo Shockwave Flash 10.0 r45 käytössä. Pystyiskö tuota päivittään uudempaan versioon?

[noname]

Luin kans Tietokone.fi sivulta, kolme viikkoo ja tulee päivitys edes flashiin.

[Aliengrey]

Tuleekohan tuo kuinka nopeasti 64bit alphaan jota käytän

[Tomin]

Sen 10.1:n jossa ei (ilmeisesti) ole tuota haavoittuvuutta saapi täältä (vain 32-bit):
http://labs.adobe.com/technologies/flashplayer10/
Suora linkki lataukseen: http://download.macromedia.com/pub/labs/flashplayer10/flashplayer10_1_rc7_linux_060210.so.tar.gz (linux, 32-bit)

Tuon sisällön voikin sitten laittaa esim. hakemistoon ~/.mozilla/plugins (~ tarkoittaa kotihakemistoa), josta saat sen itsellesi tai /usr/lib/mozilla/plugins, josta se otetaan käyttöön kaikille.
Ennen asennusta kannattanee poistaa vanhat Flashit alta (eli flashplugin-installler tai muu sellainen paketti).

Uudempaa 10-versiota ei taida vielä olla. Odotellaan, että Adobe paikkaa sen. Mitenhän on Gnashin ja muiden avoimien vaihtoehtojen laita tässä asiassa? Onko niissä tuota (tai muita vakavia tunnettuja) aukkoja?

[kubu]

Sen 10.1:n jossa ei (ilmeisesti) ole tuota haavoittuvuutta saapi täältä (vain 32-bit):
http://labs.adobe.com/technologies/flashplayer10/
Suora linkki lataukseen: http://download.macromedia.com/pub/labs/flashplayer10/flashplayer10_1_rc7_linux_060210.so.tar.gz (linux, 32-bit)

Tuon sisällön voikin sitten laittaa esim. hakemistoon ~/.mozilla/plugins (~ tarkoittaa kotihakemistoa), josta saat sen itsellesi tai /usr/lib/mozilla/plugins, josta se otetaan käyttöön kaikille.
Ennen asennusta kannattanee poistaa vanhat Flashit alta (eli flashplugin-installler tai muu sellainen paketti).

Uudempaa 10-versiota ei taida vielä olla. Odotellaan, että Adobe paikkaa sen. Mitenhän on Gnashin ja muiden avoimien vaihtoehtojen laita tässä asiassa? Onko niissä tuota (tai muita vakavia tunnettuja) aukkoja?

Tuossa Gnashissä ei ainakaan ole nollapäivähaavoittuvuutta. Muutenkin se avoimen koodin ohjelmana on mielestäni turvallisempi: http://wiki.gnashdev.org/Security.

[Tomin]

Hienoa...
http://labs.adobe.com/technologies/flashplayer10/64bit.html
http://linux.slashdot.org/story/10/06/11/1338207/Adobe-Temporarily-Kills-64-Bit-Flash-For-Linux

Tosin (Slashdotin kommenteista):

That's one down. Now, get them to cancel flash on i386 Linux, then on MacOS, then Windows, and we'll be all set.

First Apple, and now Adobe as the new flash killer. Good job

[Turbineair]

Hilipati hippaa. Ja taas mennään... taaksepäin kerien viimeisimmän päivityksen jälkeen.
A'Toope saisi minusta(kin) loistavan saneeraajan ydinosaamisalueidensa kartoittamiseen. 

[noname]

Nyt on tullu jotain päivityksiä Flash Palyeriin.

[Dost]

No saatiinko se teipattua ja onko nyt repoista päivitettävissä?

[Tomin]

No saatiinko se teipattua ja onko nyt repoista päivitettävissä?

Joo. Repoista löytyy 10.1, jossa ei ole tuota haavoittuvuutta. Ollut jo pitkään.

Koodia: [Valitse]

~$ apt-cache policy flashplugin-installer
flashplugin-installer:
  Asennettu: 10.1.53.64ubuntu0.10.04.3
  Ehdokas: 10.1.53.64ubuntu0.10.04.3
  Versiotaulukko:
 *** 10.1.53.64ubuntu0.10.04.3 0
        500 http://mirrors.nic.funet.fi/ubuntu/ lucid-updates/multiverse Packages
        100 /var/lib/dpkg/status
     10.1.53.64ubuntu0.10.04.1 0
        500 http://mirrors.nic.funet.fi/ubuntu/ lucid-security/multiverse Packages
     10.0.45.2ubuntu1 0
        500 http://mirrors.nic.funet.fi/ubuntu/ lucid/multiverse Packages
~$

[Dost]

Thx.