Digitoday

Valikko

Edes päivitys ei takaa täyttä turvaa: Myös uusimmassa Adobe Flashissä aukkoja

Myös uusimmassa Adobe Flash -ohjelman versiossa on tietoturva-aukkoja, joihin ei ole vielä korjausta. Viestintävirasto on löytänyt Flashin aukkoja käyttäviä tietomurtoja myös Suomesta.
Viestintävirasto suosittelee päivittämistä Adobe Flash -ohjelman uusimpaan versioon ohjelmasta löytyneiden vakavien tietoturva-aukkojen takia. Uusinkaan versio ei silti ole täysin turvallinen, sillä myös siitä on löytynyt vielä korjaamattomia aukkoja, eli niin sanottuja nollapäivähaavoittuvuuksia.

– Se on kuitenkin turvallisempi kuin aiemmat versiot, joten suosittelemme päivitystä, sanoo erityisasiantuntija Jussi Eronen Viestintävirastosta.

– Hyökkääjät käyttävät myös vanhoja haavoittuvuuksia, joten ohjelmistojen pitäminen ajan tasalla pienentää aina hyökkäyksen uhriksi joutumisen riskiä.

Adobe Flashista on tullut viimeisen viikon aikana julki kolme uutta noppapäivähaavoittuvuutta, joiden hyväksikäyttömenetelmiä on jo lisätty myös rikollisten käyttämiin murtotyökaluihin. Adobe on luvannut toimittaa tällä viikolla uuden päivityksen, joka korjaisi myös uusimmat paljastuneet haavoittuvuudet.

Flashin tietoturva-aukot tulivat julkisiksi italialaisen tietomurtoihin erikoistuneen Hacking Team -yrityksen tietomurron jälkeen. Yhtiöstä vietyjä tietoja on julkaistu muun muassa Wikileaks-sivustolla.

Tietomurtoja myös Suomessa

Adoben Flash - tai Shockwave Flash -ohjelmiston aukkoja voidaan käyttää hyväksi saastuttamalla ensin videoita näyttävä verkkosivusto.

– Pari viikkoa oli tilanne, jossa hyökkääjät murtautuivat myös suomalaisille sivustoille. Niitä oli muutamia kymmeniä, Eronen kertoo.

Murretuille sivuille oli upotettu hyökkäyskoodia, joka käytti hyväksi aiempia Flash-haavoittuvuuksia. Rikollisten upottama hyökkäyskoodi tutkii, onko käyttäjän koneen selaimella vaarantunut Flash-sovellus. Hyökkäyskoodilla asennetaan tietoturva-aukon avulla sitten käyttäjän koneelle haittaohjelma. Käyttäjältä ei vaadita mitään toimenpiteitä, vaan haittaohjelma voidaan aukon ansiosta asentaa täysin huomaamatta.

– Teimme itse asiassa kovan homman kun otimme yhteyttä suurimpaan osaan suomalaisista murretuista sivustoista, ja nyt suurin osa näyttää olevan korjattu. Maailmalla näitä murrettuja sivustoja on paljon, Eronen kertoo.

Vaarallisia ovat olleet esimerkiksi useat blogit tai muut sivustot, joissa on käytetty esimerkiksi suosittua WordPress-sisällönhallintaohjelmaa. WordPress-ohjelmassa on ollut useita haavoittuvuuksia, jotka saattavat edelleen olla sivustolla, jos ylläpitäjä ei ole päivittänyt ohjelmaa.

– Hyökkääjät pyrkivät olemaan hyvin huomaamattomia, Eronen kertoo.

– He eivät nimenomaan halua, että ylläpitäjä huomaa, että sivustolla on käyty, vaan pyrkivät jakamaan omia haittalinkkejään eteenpäin. Sivustolle ei välttämättä tehdä mitään näkyviä muutoksia.

Hakkerit pyrkivät luonnollisesti murtautumaan mahdollisimman suosituille sivustoille, jotta haittaohjelmia voitaisiin levittää tehokkaasti mahdollisimman monen käyttäjän koneelle.

– Sivustojen ylläpitäjillä pitäisi olla kirkkaana mielessä, että sivuston perustaminen tuo myös jonkinasteisen vastuun. Moni ei osaa mieltää, että päivitysten jättäminen väliin ei vaaranna vain sivua vaan myös kävijät.

Lisäksi käyttäjiä houkutellaan murretuille sivustoille useilla keinoilla, esimerkiksi jakamalla linkkejä roskaposteilla tai suosittujen blogien kommenteissa.

Näin suojaudut murrolta

Päivitys uusimpaan Adobe Flashin versioon ei vielä takaa täyttä turvaa, mutta se on kuitenkin vanhempia versioita turvallisempi. Flashin voi useimmissa tapauksissa päivittää Flashin lataussivulta, tai selaimen lisäosien hallinnasta. Jos olet epävarma päivititkö jo, Flashin testisivun ”Check Now” -nappi kertoo onko Flash asennettuna ja onko se uusin versio.

Windows-koneilla, Applen Mac-tietokoneissa ja Googlen Chrome -selaimissa pahimmassa vaarassa ovat Adobe Flash -versiot ennen on 18.0.0.203-versiota. Linux-laitteissa suurin vaara on Flash-versioissa ennen numeroa 11.2.202.481. Näistäkin versioista löytyy kuitenkin paikkaamattomia aukkoja.

Selaimissa kannattaa myös ottaa käyttöön automaattinen Click-to-Play -toiminto, jolloin Flash ja muut liitännäiset eivät käynnisty automaattisesti. Ominaisuuden poistaminen käytöstä onnistuu esimerkiki näiden englanninkielisten ohjeiden avulla. Windows-koneilla voi ottaa käyttöön myös Microsoftin EMET -työkalut (Enhanced Mitigation Experience Toolkit).

– EMET ei suinkaan estä haavoittuvuutta, mutta tekee hyödyntämisestä hankalampaa, Eronen sanoo.

– Meillä ei ole tosin kattavasti testattu, toimiiko EMET näihin hyökkäyksiin, se on torjunut valtaosan aiemmista haavoittuvuuksien hyväksikäyttöyrityksistä.

Erosen mukaan EMET-työkalut on sinänsä helppo asentaa, mutta niiden käyttäminen vaatii jonkun verran taitoa.

Yksi keino on myös poistaa Adobe Flash kokonaan pois käytöstä.

Näitä luetaan!

  1. 1

    Tästä syystä Therese Johaugin toiminta ei ikinä kävisi päinsä Suomessa – ”Ei jumalauta”

  2. 2

    Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

  3. 3

    Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

  4. 4

    Senaatintorilla lauletaan Finlandiaa

  5. 5

    Tähän kauhujen bunkkeriin ruotsalaislääkäri vangitsi naisen – poliisi löysi viitteitä järkyttävistä suunnitelmista

  6. 6

    Brittimedia: Saara Aalto laulaa finaalissa kaikkien aikojen Queen-klassikon yhdessä supertähti Adam Lambertin kanssa

  7. 7

    Autoilun verotus kiristyy 16 prosenttia: Tarkista kuinka paljon joudut autosi käytöstä maksamaan ensi vuonna

  8. 8

    Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

  9. 9

    Muistatko ”Minskin varpusen”? Tältä alkoholismin selättänyt Olga Korbut, 61, näyttää nyt

  10. 10

    Kukaan ei ostanut äidin käsitöitä myyjäisissä – pojan kultainen teko pelasti päivän

  11. Näytä lisää
  1. 1

    Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

  2. 2

    Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

  3. 3

    Järkyttävä tragedia golfin huipputurnauksessa – ”Kaikki ovat shokissa ja järkyttyneitä”

  4. 4

    Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

  5. 5

    X Factor -finalistin kotiinpaluujuhla kalpeni selvästi Saara Aallolle – Helsinki-hysteriassa moninkertainen yleisömäärä

  6. 6

    Arman Alizad valitsi Linnan juhlien parhaat pukeutujat – 5 napakymppiä: ”Näytti Kreikan kuningattarelta”

  7. 7

    Uutuuskirja: Miksi Adolf Ehrnrooth ammutti tykeillä omia miehiään?

  8. 8

    Ruben Stiller yllättäen pois tv-ruudusta

  9. 9

    Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

  10. 10

    Kihlasormus lensi Linnan jatkoilla – Heikki Lampelan ja Hanna Kärpäsen illalle dramaattinen päätös: ”Rapatessa roiskuu”

  11. Näytä lisää
  1. 1

    Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

  2. 2

    WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

  3. 3

    7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

  4. 4

    Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

  5. 5

    Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

  6. 6

    Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

  7. 7

    Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

  8. 8

    Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

  9. 9

    Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

  10. 10

    Matti Vanhasen tyrmäävä naisystävä Heidi säväytti Linnassa – sahaperijättären mekko paljasti dekolteen

  11. Näytä lisää

Näitä luetaan!

  1. 1

    Tästä syystä Therese Johaugin toiminta ei ikinä kävisi päinsä Suomessa – ”Ei jumalauta”

  2. 2

    Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

  3. 3

    Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

  4. 4

    Senaatintorilla lauletaan Finlandiaa

  5. 5

    Tähän kauhujen bunkkeriin ruotsalaislääkäri vangitsi naisen – poliisi löysi viitteitä järkyttävistä suunnitelmista

  6. Näytä lisää
  1. 1

    Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

  2. 2

    Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

  3. 3

    Järkyttävä tragedia golfin huipputurnauksessa – ”Kaikki ovat shokissa ja järkyttyneitä”

  4. 4

    Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

  5. 5

    X Factor -finalistin kotiinpaluujuhla kalpeni selvästi Saara Aallolle – Helsinki-hysteriassa moninkertainen yleisömäärä

  6. Näytä lisää
  1. 1

    Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

  2. 2

    WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

  3. 3

    7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

  4. 4

    Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

  5. 5

    Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

  6. Näytä lisää