1. Etusivu
2. Tuki
3. Tietoturvatiedotuksia

Tietoturvatiedotus

Flash Playerin clickjacking-ongelman kiertäminen

Julkaisupäivä: 7.10.2008

Haavoittuvuuden tunniste: APSA08-08

Ympäristö: Kaikki ympäristöt

Yhteenveto

Adobe on tietoinen hiljattain julkaistuista raporteista, jotka koskevat clickjacking-ongelmaa. Clickjacking on useiden web-selainten ongelma, jossa hyökkääjä voi houkutella web-selaimen käyttäjän napsauttamaan linkkiä tai valintaikkunaa tietämättään. Mahdollisen clickjacking-ongelman on todettu koskevan Adobe Flash Playeria. Adobe suosittelee, että asiakkaat päivittävät ohjelmistonsa uusimpaan versioon 10.0.12.36. Lisätietoja on tietoturvatiedotteessa APSB08-18.

Adobe toimittaa marraskuun alussa ongelman ratkaisemiseen tarkoitetun Flash Player 9 -päivityksen sellaisille Flash Player 9 -asiakkaille, jotka eivät pysty päivittämään ohjelmistoaan Flash Player 10:een.

Ohjelmistot, joita haavoittuvuus koskee: Adobe Flash Player 9.0.124.0 ja aikaisemmat.

Ratkaisu

Adobe suosittelee, että kaikki Adobe Flash Player 9.0.124.0:n ja sen aikaisempien versioiden käyttäjät päivittävät uusimpaan versioon 10.0.12.36 lataamalla ohjelmiston Player-latauskeskuksesta tai käyttämällä pyydettäessä tuotteen automaattista päivitystoimintoa. Lisätietoja on tietoturvatiedotteessa APSB08-18. Adobe toimittaa marraskuun alussa päivityksen sellaisille Flash Player 9 -asiakkaille, jotka eivät pysty päivittämään ohjelmistoaan Flash Player 10:een. Sillä välin Adobe kehottaa Flash Player 9 -asiakkaita ja järjestelmänvalvojia kiertämään ongelman alla kuvatulla tavalla.

Flash Player 9 -asiakkaat:

Asiakkaat voivat estää mahdollisen ongelman muuttamalla Flash Playerin asetuksia seuraavasti:

1. Avaa Adobe Flash Player Settings Managerin Global Privacy Settings (Yleiset tietosuoja-asetukset) -paneeli seuraavassa URL-osoitteessa: http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html*
2. Napsauta "Always deny" (Estä aina) -painiketta.
3. Valitse tämän jälkeen avautuvasta valintaikkunasta "Confirm" (Vahvista).
4. Huomaa, että tämän asetuksen muuttamisen jälkeen sinua ei enää kehoteta hyväksymään tai estämään kameran ja/tai mikrofonin käyttöä. Asiakkaat, jotka haluavat tiettyjen sivustojen voivan käyttää kameraa ja/tai mikrofonia, voivat sallia tiettyjen sivustojen käytön Settings Managerin Website Privacy Settings (Web-sivuston tietosuoja-asetukset) -paneelissa seuraavassa URL-osoitteessa: http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html*.

Järjestelmänvalvojat, jotka eivät pysty päivittämään ohjelmistoaan Flash Player 10:een:

Järjestelmänvalvojat voivat muuttaa asiakasohjelman mms.cfg-tiedostojen AVHardwareDisable-arvon 0:sta 1:ksi. Tämä poistaa kameran ja mikrofonin vuorovaikutukset käytöstä. Lisätietoja mms.cfg-tiedostosta ja AVHardwareDisable-arvosta on Adobe Flash Player Administration Guide -oppaan sivulla 57. http://www.adobe.com/devnet-archive/flashplayer/articles/flash_player_admin_guide/flash_player_admin_guide.pdf#page=57*.

Vakavuusluokitus

Adobe luokittelee tämän kriittiseksi ongelmaksi*.

Kiitokset

Adobe haluaa kiittää SecTheoryssä* työskentelevää Robert Hansenia, WhiteHat Securityssä* työskentelevää Jeremiah Grossmania, Eduardo Velaa*, DotSpotsissa* työskentelevää Matthew Mastraccia ja TopsecTianRongXinissa* työskentelevää Liu Die Yuta, jotka ilmoittivat tästä haavoittuvuudesta ja auttoivat meitä asiakkaidemme suojauksen varmistamisessa.

Versiot

15.10.2008 – Tiedotus päivitetty tietoturvatiedotteen APSB08-18 tiedoilla
7.10.2008 – Tiedotus luotu ensimmäisen kerran