Adoben päivitys korjaa haavoittuvuuksia AIR- ja Flash Player-ohjelmistoissa

Kohde:

– työasemat ja loppukäyttäjäsovellukset
– matkaviestimet

Hyökkäystapa:

– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– käyttövaltuuksien laajentaminen
– tietojen muokkaaminen
– luottamuksellisen tiedon hankkiminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Adobe on julkaissut päivityspaketin, joka korjaa kriittisiä haavoittuvuuksia
Flash Playerin versioissa 13.0.0.214 Windows- ja OS X-alustoilla sekä
versiossa 11.2.202.359 Linux-alustalla. Flash Playerissa olevat
haavoittuvuudet mahdollistavat hyökkääjälle haitallisen koodin ajamisen
kohdekoneessa. Kyseisiä haavoittuvuuksia on Adoben tietojen mukaan joko
hyväksikäytetty osana haittaohjelmien toimintaa, tai niiden hyväksikäyttö on
erittäin todennäköistä. AIR-ohjelmistossa olevat haavoittuvuudet ovat
vähemmän kriittisiä, eikä niitä tiedetä käytetyn aktiivisesti hyökkäyksiin.

Adobe suosittelee Windows- ja OS X-käyttäjiä päivittämään Flash Playerin
versioon 14.0.0.125 ja Linux-käyttäjiä päivittämään versioon 11.2.202.378.
Adobe AIR 13.0.0.111-käyttäjien (Myös SDK & Compiler-paketit) suositellaan
päivittävän ohjelmisto versioon 14.0.0.110. Päivitys koskee myös
Android-alustalla ajettavia versioita AIR-ohjelmistosta.

Google Chromeen sisäänrakennettu Flash Player-komponentti päivittyy
automaattisesti selaimen päivittäessä itsensä. Chromen päivityksen voi
pakottaa valitsemalla oikean ylänurkan valikosta “Tietoja Google Chromesta”
(eng. “About Google Chrome”). Internet Explorer-selaimen versioiden 10 ja 11
Flash Player-komponentit päivittyvät automaattisesti Windowsin keskitetyn
päivitysominaisuuden kautta.

Käytössäsi olevan Flash Player-ohjelmiston version sekä viimeisimmät versiot
voit tarkistaa seuraavasta linkistä:
http://www.adobe.com/software/flash/about/

HAAVOITTUVAT OHJELMISTOT:

* Adobe Flash Player 13.0.0.214 ja aikaisemmat versiot Windows- ja OS
X-alustalla
* Adobe Flash Player 11.2.202.359 ja aikaisemmat versiot
Linux-alustalla
* Adobe AIR 13.0.0.111 SDK ja aikaisemmat versiot
* Adobe AIR 13.0.0.111 SDK & Compiler ja aikaisemmat versiot
* Adobe AIR 13.0.0.111 ja aikaisemmat versiot Android-alustalla
* Adobe AIR 13.0.0.111 ja aikaisemmat versiot Windows- ja OS
X-alustalla

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti.
* Linkki päivitettyihin versioihin Lisätietoja-kohdassa.

LISÄTIETOA:

* http://www.adobe.com/software/flash/about/
* http://helpx.adobe.com/air/kb/determine-version-air-runtime.html
* http://helpx.adobe.com/security/products/flash-player/apsb14-16.html

Päivityspaketti paikkaa kriittisiä haavoittuvuuksia Microsoftin ohjelmistoissa

Kohde:

– palvelimet ja palvelinsovellukset
– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:

– paikallisesti
– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– käyttövaltuuksien laajentaminen
– tietojen muokkaaminen
– luottamuksellisen tiedon hankkiminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Microsoft on julkaissut kesäkuun päivityspaketin, joka sisältää seitsemän
päivitystä, jotka korjaavat 66 haavoittuvuutta eri ohjelmistoissa.
Päivityksistä kaksi on kriittisiä. Merkittävin korjaava päivitys liittyy
Internet Explorerin versioiden 6-11 haavoittuvuuksiin, joista osa
mahdollistaa haitallisen koodin ajamisen käyttäjän selaimessa käytössä
olevilla käyttäjäoikeuksilla. Yhteensä erilaisia Internet Explorer selaimeen
liittyviä haavoittuvuuksia paikataan 59 kappaletta, joista kaksi on
julkistettuja. Joukossa on myös muistin käsittelyyn sekä käyttöoikeuksien
laajentamiseen liittyviä korjauksia.

Päivityspaketti sisältää paikkauksia myös Windows-, Office- ja
Lync-ohjelmistoille, joissa olevat haavoittuvuudet saattavat myös altistaa
haitallisen koodin ajamiselle.

Vähemmän kriittisiä haavoittuvuuksia korjataan XML-ydinpalvelusta sekä
RDP-yhteysohjelmistosta.

Päivityspaketti koskee kaikkia tuettuja Windows-käyttöjärjestelmiä ja
Internet Explorer-selaimia, ja se asentuu käyttäjille automaattisesti
Windows Update-palvelun kautta. Internet Explorer 8 Windows XP-alustalla ei
ole enää tuettujen tuotteiden joukossa.

Viestintäviraston Kyberturvallisuuskeskus suosittelee pitämään automaattiset
päivitykset päällekytkettyinä ja käyttämään ajantasaista, tuettua
käyttöjärjestelmää.

HAAVOITTUVAT OHJELMISTOT:

* Microsoft Windows Vista / 7 / 8 / 8.1 / RT / Server 2003 / Server
2008 / Server 2012
* Internet Explorer, versiot 6 – 11
* Microsoft Office 2007 SP3 / 2010 SP1 & SP2
* Microsoft Lync (eri versiot)
* Microsoft Live Meeting Console
* Microsoft RDP

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmistojen päivittäminen valmistajan ohjeen mukaisesti

LISÄTIETOA:

* https://technet.microsoft.com/library/security/ms14-jun

Varoitus netin huonekaluostoksista -Infurn – Design Furn

Tuhannet eurooppalaiset kuluttajat ovat jääneet ilman tilaamiaan huonekaluja
ja sisustustuotteita, kun netissä niitä myyvä Infurn ei ole toimittanut jo
maksettuja tuotteita. Yrityksen toimitusehdoissa kuluttajia pyydetään
varautumaan pitkiin, jopa 18 viikon toimitusaikoihin, mutta nekin ovat
ylittyneet. Nyt yritys ilmoittaa, ettei se pysty ilmoittamaan
toimitusajankohtaa taloudellisten vaikeuksiensa vuoksi. Euroopan
kuluttajakeskus on ohjeistanut luottokortilla tilauksen maksaneita
kuluttajia kääntymään oman luottokorttiyhtiön puoleen rahojen
takaisinsaamiseksi.

lisää asiasta kuluttajakeskuksessa

GnuTLS Transport Layer Security -kirjastossa muistinkäsittelyyn liittyvä haavoittuvuus

Kohde:

– palvelimet ja palvelinsovellukset
– työasemat ja loppukäyttäjäsovellukset
– verkon aktiivilaitteet
– sulautetut järjestelmät

Lisätietoja

Hyökkäystapa:

– ilman kirjautumista
– etäkäyttö

Lisätietoja

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– palvelunestohyökkäys

Lisätietoja

Ratkaisu:

– korjaava ohjelmistopäivitys

Lisätietoja

GnuTLS Transport Layer Security -kirjastosta on löydetty muistinkäsittelyyn
liittyvä haavoittuvuus Server Hello-viestin session id -parametrin
käsittelyssä. Haavoittuvuuden avulla on mahdollista aiheuttaa
palvelunestotila haavoittuvassa asiakasohjelmistossa sen vastaanottaessa
tietyllä tavalla muokatun Server Hello -viestin.

Haavoittuvuus saattaa myös mahdollistaa hyökkääjän koodin suorittamisen
kohdejärjestelmässä käyttäjän oikeuksin.

HAAVOITTUVAT OHJELMISTOT:

* GnuTLS 3.1.x, versiota 3.1.25 vanhemmat versiot

* GnuTLS 3.2.x, versiota 3.2.15 vanhemmat versiot

* GnuTLS 3.3.x, versiota 3.3.2 vanhemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä GnuTLS korjattuun versioon.

https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-074.html