Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Haavoittuvuuksia PDF-lukijoiden varmenteiden tulkinnassa

Haavoittuvuus5/2019

Julkaistu

Useiden eri valmistajien PDF-lukijoiden varmenteiden tulkinnassa on ilmennyt haavoittuvuuksia. Haavoittuvuudet mahdollistavat digitaalisesti allekirjoitetun PDF-tiedoston sisällön muokkaamisen ilman, että sovellus varoittaa asiasta. Haavoittuvuuksia on paikattu päivityksin, mutta kaikista sovelluksista ei löydy kattavaa suojaa hyökkäystapoja vastaan.

PDF-tiedosto voidaan allekirjoittaa digitaalisesti tekijänsä toimesta, jotta dokumentin vastaanottaja voi todentaa tiedon tulevan muokkaamattomana oikeasta ja aidosta lähteestä. Tutkijaryhmä löysi kolme eri haavoittuvuutta PDF-tiedostojen varmenteiden käsittelyssä käyttäjäsovelluksissa. Haavoittuvuuksien kautta hyökkääjä kykenee muokkaamaan haltuunsa saaman PDF-tiedoston sisältöä mielivaltaisesti rikkomatta varmenneketjua ja dokumentin eheydestä ilmoittavia tietoja. Haavoittuvuus ei ole varsinaisessa varmenneketjussa tai varmenteiden toimintatavassa, vaan sovellusten toimintamallissa varmenteita tarkastaessa. Tutkijaryhmä on välittänyt tietonsa sovellusvalmistajille lokakuussa 2018, ja suurin osa sovelluksista on paikattu ainakin osittaisesti haavoittuvuuksia vastaan. Huomionarvoista on, että tätä kirjoittaessa vain Linux-ympäristössä ajettava Adobe Reader 9 on paikattu kaikkia kolmea haavoittuvuutta vastaan; muissa sovelluksissa on edelleen mahdollista hyötykäyttää vähintään yhtä haavoittuvuustyyppiä.

Haavoittuvuus ei koske selaimella tapahtuvaa PDF-tiedostojen avaamista, koska selaimet eivät lähtökohtaisesti tue PDF-tiedostojen varmenteiden käsittelyä lainkaan.

Korjaava toimenpide on päivittää käytössä oleva PDF-lukija tuoreimpaan versioonsa.

 

Haavoittuvuuksien CVE-tunnisteet:

  • CVE-2018-16042
  • CVE-2018-18688
  • CVE-2018-18689

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Ilman käyttäjän toimia

Vaikutukset

  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ei päivitystä

Haavoittuvuuden kohde

Katso kattava listaus haavoittuvuuksista ja päivityksistä osoitteesta https://www.pdf-insecurity.org/signature/viewer.html.

Mistä on kysymys?

Sovellusten päivittäminen ajantasaisiin versioihin.

PDF Insecurity -tutkimus (Ulkoinen linkki)
Security Bulletin for Adobe Acrobat and Reader (Ulkoinen linkki)