Haavoittuvuus5/2019
Useiden eri valmistajien PDF-lukijoiden varmenteiden tulkinnassa on ilmennyt haavoittuvuuksia. Haavoittuvuudet mahdollistavat digitaalisesti allekirjoitetun PDF-tiedoston sisällön muokkaamisen ilman, että sovellus varoittaa asiasta. Haavoittuvuuksia on paikattu päivityksin, mutta kaikista sovelluksista ei löydy kattavaa suojaa hyökkäystapoja vastaan.
PDF-tiedosto voidaan allekirjoittaa digitaalisesti tekijänsä toimesta, jotta dokumentin vastaanottaja voi todentaa tiedon tulevan muokkaamattomana oikeasta ja aidosta lähteestä. Tutkijaryhmä löysi kolme eri haavoittuvuutta PDF-tiedostojen varmenteiden käsittelyssä käyttäjäsovelluksissa. Haavoittuvuuksien kautta hyökkääjä kykenee muokkaamaan haltuunsa saaman PDF-tiedoston sisältöä mielivaltaisesti rikkomatta varmenneketjua ja dokumentin eheydestä ilmoittavia tietoja. Haavoittuvuus ei ole varsinaisessa varmenneketjussa tai varmenteiden toimintatavassa, vaan sovellusten toimintamallissa varmenteita tarkastaessa. Tutkijaryhmä on välittänyt tietonsa sovellusvalmistajille lokakuussa 2018, ja suurin osa sovelluksista on paikattu ainakin osittaisesti haavoittuvuuksia vastaan. Huomionarvoista on, että tätä kirjoittaessa vain Linux-ympäristössä ajettava Adobe Reader 9 on paikattu kaikkia kolmea haavoittuvuutta vastaan; muissa sovelluksissa on edelleen mahdollista hyötykäyttää vähintään yhtä haavoittuvuustyyppiä.
Haavoittuvuus ei koske selaimella tapahtuvaa PDF-tiedostojen avaamista, koska selaimet eivät lähtökohtaisesti tue PDF-tiedostojen varmenteiden käsittelyä lainkaan.
Korjaava toimenpide on päivittää käytössä oleva PDF-lukija tuoreimpaan versioonsa.
Haavoittuvuuksien CVE-tunnisteet:
- CVE-2018-16042
- CVE-2018-18688
- CVE-2018-18689
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Ilman käyttäjän toimia
Vaikutukset
- Tietojen muokkaaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ei päivitystä
Haavoittuvuuden kohde
Katso kattava listaus haavoittuvuuksista ja päivityksistä osoitteesta https://www.pdf-insecurity.org/signature/viewer.html.
Mistä on kysymys?
Sovellusten päivittäminen ajantasaisiin versioihin.