Maailman suurimmista ohjelmistovalmistajista Microsoftin ja Adoben vakioaikataulun mukaiset tietoturvapäivitysten säännölliset jakelut – ns. paikkauspäivät sattuivat tällä viikolla samalle päivälle. Eikä kyseessä ole ensimmäinen kerta.

SANS-instituuttiin kuuluva Internet Storm Center -keskus näyttää käyttävän päiväkirjamerkinnässään myös Adoben päivityspäivästä aikaisemmin Microsoft-päivityksille varaamaansa termiä Black Tuesday – “Musta tiistai”.

Merkillepantavaa on myös se, että kun Microsoftin 13 bulletiinista kaksi – IE:tä ja nimipalvelua koskevat – kuuluu luokitukseltaan vakavimpaan Critical-luokkaan on kaikki Adoben elokuussa korjaamat Flash-haavoittuvuudet luokiteltu kriittisiksi.

Nyt päivitetyistä ohjelmistoista Shockwave Playeriä, Flash Media Serveriä ja RoboHelpiä ei joka työasemasta löydy, mutta Flash on asennettuna ja tuettuna selaimessa käytännössä jokaisessa minkä tahansa kokoisen organisaation työasemassa. Vihamielisen koodin ajamisen mahdollistavia haavoittuvuuksia paikattiin Adobe Flash Player -versiosta 10.3.181.36 peräti 12 kappaletta.

Haavoittuvuustutkijat kiireisinä

Iso osa Flash-haavoittuvuuksista on tullut Adoben tietoon haavoittuvuusjulkistusohjelmien kautta. On kuitenkin mahdollista ja myös todennäköistä, että samoja haavoittuvuuksia ovat löytäneet myös tahot, jotka haluavat käyttää niitä vihamielisiin ja rikollisiin tarkoituksiin. Ja jos haavoittuvuus on code execution -tyyppinen voi sitä käyttää esimerkiksi yritykseen tehtävään kohdistettuun hyökkäykseen.

Mistään vaatimattomasta haavoittuvuusmäärästä ei Adoben tuotteiden – esimerkiksi Flashin osalta puhuta. Jos Flash on organisaation työasemissa päivittämättä muutamankin kuukauden ajalta puhutaan helposti kymmenistä paikkausta vailla olevista haavoittuvuuksista.

Pohdimme vakiopäivityspäivän mukanaan tuomia piirteitä vajaa vuosi sitten. Onko Adoben päivityspäivästä tulossa nyt organisaation työasematietoturvapäivitysten hallinnan kannalta entistäkin kriittisempi? Adobe päivittää käytännössä joka päivityksessään Flashia ja Adobe Readeria – juuri nuo ohjelmistot löytyvät lähes jokaisesta työasemasta ja niitä myös käytetään paljon.

Kirjoittajan kesäloma kului kesäteatterinäytöksissä ja maalauspuuhissa maalaismaisemissa kaukana tietokoneesta, mutta seuraten tietoturvakenttää älypuhelimella.

Normaalitilanteessa ylläpitäjät ja tietoturvahenkilöstö sekä käyttäjät voivat tutustua uudessa ohjelmistoversiossa korjattuihin haavoittuvuuksiin tai tietoturvaparannuksiin. Aina ei näin kuitenkaan tapahdu.

Hiljainen päivitys on ohjelmistoon julkaistu tietoturvapäivitys, jossa korjattuja haavoittuvuuksia ei ole julkisesti dokumentoitu eikä yksilöity.

Päivitystä ei siis edes kutsuta tietoturvapäivitykseksi, mikäli samalla kertaa ei ole korjattu muita haavoittuvuuksia, jotka yksilöidään tietoturvatiedotteessa (advisory).

Mikäli ilmoittamatta jäävä korjattu haavoittuvuus on ainut tietoturvapäivitys, mutta valmistaja nimeää päivityksen esimerkiksi ylläpito- tai vakauspäivitykseksi saattavat ohjelmiston ylläpidosta vastaavat organisaatioissa jättää päivityksen väliin. On helppoa olla kiirehtimättä päivityksen jakelussa, ellei sen tietoturvaluonnetta ole tiedossa.

Hiljaisia päivityksiä (englanniksi silent patch) harrastavat niin isot kuin pienetkin ohjelmistovalmistajat. Viime päivinä aiheesta on puhuttu Adoben julkaistua Flashia koskevan säännöllisen tietoturvapäivityksen. Microsoftin on kerrottu toimineen viime vuonna MS10-024- ja MS10-028-päivityksien kohdalla myös “hiljaisesti”.

Adoben tapauksessa Googlen Tavis Ormando väittää Adoben jättäneen yksilöimättä nelisensataa tietoturvaparannusta, jotka ovat tulleet ilmi Flashiin kohdistuneessa auditoinnissa Chrome-selaimeen integroimiseen liittyen. Ormando perää tapauksille CVE-tunnuksia ja haavoittuvuuksien löytäjän nimeä esile.

Aikaisempia tietoturvatermejä koskevia kirjoituksia voi lukea avainsanalla tietoturvatermit.