Flash Playeriä koskeva tietoturvatiedote | APSA18-01
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSA18-01 1. helmikuuta 2018 1

Yhteenveto

Adobe Flash Playerin versiossa 28.0.0.137 ja sitä aiemmissa versioissa on kriittinen haavoittuvuus ((CVE-2018-4878). Haavoittuvuutta onnistuneesti hyödyntävä hyökkääjä voi mahdollisesti ottaa järjestelmän hallintaansa.

Adobe on tietoinen siitä, että haavoittuvuutta CVE-2018-4878 on käytetty ja että sitä hyödynnetään rajoitetuissa, kohdennetuissa hyökkäyksissä Windows-käyttäjiä vastaan. Näissä hyökkäyksissä hyödynnetään sähköpostitse jaettuja Office-asiakirjoja, joihin on upotettu Flash-haittasisältöä.

Adobe tulee korjaamaan tämän haavoittuvuuden suunnitelmien mukaan 5. helmikuuta alkavalla viikolla julkaistavalla päivityksellä.

Uusimmat tiedot aiheesta ovat Adobe Product Security Incident Response Team -blogissa.

Alttiit tuoteversiot

Tuote Versio Ympäristö
Ajonaikainen Flash Player -työpöytäsovellus 28.0.0.137 ja aiemmat versiot Windows, Macintosh
Adobe Flash Player Google Chromelle 28.0.0.137 ja aiemmat versiot Windows, Macintosh, Linux ja Chrome OS 
Adobe Flash Player Microsoft Edgelle ja Internet Explorer 11:lle 28.0.0.137 ja aiemmat versiot Windows 10 ja 8.1
Ajonaikainen Flash Player -työpöytäsovellus 28.0.0.137 ja aiemmat versiot Linux

Voit tarkistaa Adobe Flash Playerin version siirtymällä About Flash Player (Tietoja Flash Playeristä) -sivulle tai napsauttamalla hiiren kakkospainikkeella Flash Player -sisältöä ja valitsemalla valikosta ”About Adobe (tai Macromedia) Flash Player (Tietoja Adobe (tai Macromedia) Flash Playeristä)”. Jos käytät useita selaimia, tarkista jokainen järjestelmään asennettu selain erikseen.

Haavoittuvuuden lieventäminen

Flash Player 27 -versiosta lähtien järjestelmänvalvojilla on ollut kyky muuttaa Internet Explorer -selaimella Windows 7 -käyttöjärjestelmässä ja aiemmissa Windows-versioissa käytettävän Flash Playerin toimintaa pyytämällä käyttäjältä vahvistus ennen SWF-sisällön toistamista.  Lisätietoja aiheesta on tässä järjestelmänvalvojan oppaassa.   

Järjestelmänvalvojien kannattaa myös harkita Officen suojatun näkymän käyttöönottoa.  Suojattu näkymä avaa mahdollisesti ei-turvalliseksi merkityn tiedoston kirjoitussuojatussa tilassa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Muistin vapauttamisen jälkeinen hyökkäys Koodin etäsuoritus Kriittinen CVE-2018-4878

Kiitokset

Adobe haluaa kiittää KrCERT/CC:tä, joka ilmoitti tästä ongelmasta ja auttoi meitä asiakkaidemme suojauksen varmistamisessa.