Adobelta päivitys Flash Playeriin

Adobe on julkaissut kriittisen päivityksen Flash Playeriin.

Päivityspaketti APSB18-03 sisältää kriittisen päivityksen Adoben Flash Playeriin. Nyt korjattua haavoittuvuutta on Adoben mukaan hyväksikäytetty kohdistetuissa hyökkäyksissä Windows-ympäristöissä. Haavoittuvuus on korjattu myös muiden käyttöjärjestelmien Flash-versioissa.

Haavoittuvuuden kohde

Adobe Flash Player Desktop Runtime 28.0.0.137 ja aiemmat versiot (Windows, Macintosh)
Adobe Flash Player for Google Chrome 28.0.0.137 ja aiemmat versiot (Windows, Macintosh, Linux ja Chrome OS)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 28.0.0.137 ja aiemmat versiot (Windows 10 ja 8.1)
Adobe Flash Player Desktop Runtime 28.0.0.137 ja aiemmat versiot (Linux)

Mistä on kysymys?

Asenna korjaava ohjelmistopäivitys.
Poista Flash Player käytöstä
Käytössä olevan Flash-version voi tarkistaa Adoben sivuilta http://www.adobe.com/software/flash/about/

Mitä voin tehdä?

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.