Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 17.287 •
Submitter: Jimmy89

Adobe heeft een tussentijdse patch uitgebracht voor zijn Flash Player-software, vanwege twee beveiligingsproblemen die in de software waren ontdekt. De bugs werden in het wild misbruikt, en daarom is de patch vijf dagen eerder dan gepland naar buiten gebracht.

FlashEigenlijk was Adobe van plan om dinsdag een update voor zijn Flash Player uit te brengen, in lijn met het periodieke schema voor patches, zoals ook veel andere bedrijven dat hanteren. Dat zo kort vooraf is besloten om een tussentijdse patch uit te brengen, benadrukt de ernst van de beveiligingsproblemen. Het gaat om twee bugs, die het beide mogelijk maken voor aanvallers om eigen code uit te voeren.

Beide beveiligingsproblemen werden in het wild misbruikt en maakten het voor aanvallers mogelijk om een malafide Flash-object in een Word-document te verstoppen. In de praktijk werden die Word-documenten per mail verzonden aan potentiële doelwitten. Een van de twee bugs maakte bovendien Firefox en Safari op OS X kwetsbaar voor de aanval, waarbij gebruikers besmet konden raken door een website te bezoeken die een speciaal geprepareerd Flash-object bevatte. Dat Chrome niet kwetsbaar was, betekent waarschijnlijk dat de bug niet uit de beveiligde omgeving van Chrome kon ontsnappen; Firefox voor OS X beschikt daar vooralsnog niet over.

Beveiligingsproblemen in plug-ins als Java en Flash worden vaak gebruikt door aanvallers om malware te verspreiden. Uit onderzoek van zowel Kaspersky als Cisco blijkt dat kwetsbaarheden in Java het vaakst worden misbruikt om malware te verspreiden. Daarvoor worden vaak exploit-kits gebruikt, die kwetsbaarheden in software misbruiken om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Reacties (44)

Volgens die filosofie zouden ook alle besturingssystemen en browsers verboden moeten worden.
Heb je al eens gekeken hoeveel beveiligingsupdates Microsoft en Apple (& Firefox en Google) uitbrengen (*nix zou ik niet weten). Dat is al zo standaard geworden dat je er niets meer over hoort.
Flash komt nog wel in het nieuws, en dan opeens is het schandalig.. ?
*nix komt bijna dagelijks met updates dat heeft meer te maken met de comunitie die of lekken repareren of functionaliteit toevoegen volgens mij wordt de kernel maandelijks van updates voorzien..

Ondern *nix valt ook OS X ;-)
Meest actuele versienumers :

- Windows en Mac (IE en Firefox) : v11.5.502.149
- Windows, Mac en Linux (Chrome) : v11.5.31.139
- Windows 8 (IE 10) : v11.3.379.14
- Linux (Firefox) : v11.2.202.262
- Android 3.x : v11.1.111.32
- Android 4.x : v11.1.115.37

Bron : http://www.adobe.com/supp.../bulletins/apsb13-04.html
Zo meteen even Adobe Flash Player gedownload en ge installeert naar 11.5.502.149, zag dat er bij mij nog steeds Adobe Flash Player 11.5.502.146 op stond.

Dit is wat Adobe zecht:

Affected software versions

Adobe Flash Player 11.5.502.146 and earlier versions for Windows and Macintosh
Adobe Flash Player 11.2.202.261 and earlier versions for Linux
Adobe Flash Player 11.1.115.36 and earlier versions for Android 4.x
Adobe Flash Player 11.1.111.31 and earlier versions for Android 3.x and 2.x

To verify the version of Adobe Flash Player installed on your system, access the About Flash Player page, or right-click on content running in Flash Player and select "About Adobe (or Macromedia) Flash Player" from the menu. If you use multiple browsers, perform the check for each browser you have installed on your system.

To verify the version of Adobe Flash Player for Android, go to Settings > Applications > Manage Applications > Adobe Flash Player x.x.
Het is ongekend schandalig hoe lek dat is.
Dat niet zo zeer, het is schandalig hoeveel rechten die plugins nodig hebben op je systeem. Dat is waarom Flash, Java, ActiveX, Acrobat Reader enz. zo schadelijk zijn bij een lek: deze plugins hebben schrijfrechten en (vrij) hoge permissies op het doelsysteem. Er wordt wel wat gedaan met sandboxes, maar dat is meer symptoombestrijding dan een echte oplossing voor het probleem. Wat het extra bemoeilijkt is dat deze tools deze rechten vaak wel nodig hebben voor hun functionaliteit. Denk dan aan toegang tot de webcam, audio device, bestandopslag en hardware acceleratie.
Overigens kun je hetzelfde zeggen over WebGL/WebCL: die hebben bij een browser exploit ook directe toegang tot de CPU, RAM en de GPU.
@Rick2910 : Ik heb die sandbox juist uitgeschakeld omdat deze meer kwaad dan goed deed. Het idee van PluginContainer.exe was om te voorkomen dat Firefox de soep in draait indien Flash vast loopt. Mozilla heeft dat in Firefox 3.6.4 toegevoegd en sindsdien heb ik er problemen mee.

Deze sandbox resulteert er bij mij in dat de processorbelasting makkelijk tot 70% toeneemt (enkel door de PluginContainer.exe) bij het afspelen van Flash en het beeld begint te haperen.

Daarom heb ik een bestand genaamd "mms.cfg" aangepast in de "C:\Windows\SysWOW64\Macromed\Flash" map om deze "protectedmode" uit te schakelen. Je voegt simpelweg de regel "ProtectedMode=0" toe en slaat het bestand op. Vervolgens kopieer je dit bestand ook naar de "C:\Windows\System32\Macromed\Flash" map toe.

Zo ziet mms.cfg er dan uit :
AutoUpdateDisable=0
SilentAutoUpdateEnable=1
ProtectedMode=0


Mensen die een 32-bit Windows versie hebben gebruiken enkel de System32 locatie.

[Reactie gewijzigd door Titan_Fox op 8 februari 2013 16:43]

Er is een groot verschil tussen requests naar het OS sturen die ze doorstuurt naar de hardware en direct access. Niet alle programma's hebben direct acces.

"Programma's" zoals WebGL met meer rechten mbt directe access kunnen optimaler van de hardware gebruik maken. Nadeel is dat dit een extra veiligheidsrisico kan zijn (en dat het programmeren lastiger is).
Een tijdje, kijk maar naar flashback. Toen stond de hele wereld op zijn kop, want dat was een van de eerste grote virussen speciaal getarget voor OS X.
Flashback maakte toch gebruik van een lek in Java?
Ja, en? Hoeveel Windows virussen komen ook daadwerkelijk via lekken in Windows binnen?

Punt blijft dat de uitbraak van Flashback, gerekend naar % ge´nfecteerde gebruikers, groter was dan enig Windows virus ooit, juist omdat iedereen gelooft dat OSX zo veilig is en dus geen beveiliging installeert.
Sinds wanneer zijn die er niet.
Ik heb het een 10jaar terug al voor elkaar gekregen op een imac een virus te downloaden via Limewire. :p Het is alleen een stuk minder efficiŰnt om voor mac virussen uit te brengen omdat de kans veel kleiner is dat je programma zijn doel bereikt dan op windows.
Is ook niet moeilijk. een hele boel files op limewire waren besmet met virussen. wil nog niet zeggen dat je die mac besmet hebben tenzij je er windows op geinstalleerd had...
Als je een mac bezit raad ik je aan om het volgende artikel eens te lezen:

121 Nieuwe Mac virussen ontdekt in 2012

URL naar F-Secure rapport:
F-Secure Threat Report H2-2012
Java staat er niet op, Click2Flash extensie staat standaard aan, Adblock en Ghostery extensies ook. Little Snitch staan altijd aan. Microsoft Office producten staan er niet op. Hoeveel van die 121 nieuwe 'virussen' doen het dan nog?

F-Secure kan wel wat lullen maar hun product komt er mooi hier niet op. Die zal zeker niet meer veiligheid bieden dan bovenstaande.
@CedricD : Apple heeft bepaalde veiligheidsproblemen in Safari gewoon niet meer opgelost en kwamen daarentegen met een geheel nieuwe versie op de proppen die alleen op nieuwere MacOS-versies draaiden, die weer modernere hardware nodig hadden.

In plaats van de problemen op te lossen kregen gebruikers (die veelal Apple-hardware uit bouwjaar 2007 - 2008 in hun bezit hadden) doodleuk het advies om maar een nieuwe Mac te kopen.

Dus ja; ook MacOS heeft last van virussen en malware. Minder dan Windows, maar dat heeft er meer mee te maken dat Windows nog steeds het meest dominante OS is en het voor kwaadwillenden daarom interessanter is om voor dit systeem malware te schrijven.

Kortom; MacOS heeft minder last van virussen e.d. vanwege het beduidend kleinere marktaandeel.
Te laat voor een klant van mij, zijn bedrijf heeft behoorlijk wat hinder ondervonden. In plaats van de update installeren is ons verteld om de installatie ongedaan te maken op elke computer... Beetje voorbarig maar de klant is koning en wij geven enkel advies.
Misschien gelijk verstandig om bij hem de volgende URL's te blokkeren, voor het geval er nog computers in het netwerk besmet zijn. Je vind eeen lijstje met alle URL's op de research pagina van FireEye (zie mijn reactie op topic hieronder)
Is wel zo slim, om software die je niet nodig hebt te deinstalleren. Niet alleen flash maar ook java, silverlight, en alles wat in je browser draait. Waarom iets open laten staan als je het niet nodig hebt? Nu kun je de patch installeren en die 2 lekken dichten, maar alle andere (nog onbekende) lekken blijven er gewoon inzitten en bijten je de volgende keer weer.
Mijn advies is al jaren om flash/java/etc eraf te pleuren tenzij je het perse nodig hebt. En een paar video's vallen niet onder "perse nodig", je komt op kantoor om te werken.

Ik heb op m'n werk-pc (ubuntu) al jaren geen flash of java plugin meer. Youtube werkt prima met Chrome en de ingebouwde H264 support en irritante flashbanners mis ik niet :+
Ik kreeg net een nieuwe versie van Firefox voorgeschoteld (EN-US versie, OS win7) waar op de plugin-check pagina al stond dat Flash een security bug bevatte en de keuze kreeg om te updaten. Er worden overigens meerdere plugins gechekt.
Voor een uitgebreide analyse van de exploits:

Research van FireEye
Je vind hier tevens een lijstje met alle URL's die je op je netwerk niveau kan laten blokkeren. (C&C servers)

Het blijkt dat de taalinstelling van het Word document in het Chinees was, waardoor er nu (opnieuw) lijnen worden getrokken met een Chinese aanval.

Kennelijk heeft Lockheed hier ook last van gehad, gebaseerd op het volgende artikel met de overige achtergrond informatie:
https://www.security.nl/artikel/45096/1/Nieuwste_Flash-aanval_afkomstig_van_Chinees_systeem.html

Wat ik nog mis in dit artikel is dat Adobe nu (opeens :P) naar de Flash beveiliging bij Office pakketten ouder dan 2010 onder de loep wil nemen (uiteraard gebaseerd op ÚÚn van de 0day lekken):
https://www.security.nl/artikel/45092/1/Adobe_wijzigt_werking_Flash_in_Microsoft_Office.html

Edit: toegevoegd dat C&C URL's op de FireEye pagina gevonden kunnen worden.

[Reactie gewijzigd door Jimmy89 op 8 februari 2013 15:51]

Ik heb Flash ook al een tijdje verwijderd uit mijn default browser. Afgezien van het niet fullscreen kunnen zien van video's op Tweakers en Youtube verandert er eigenlijk niet zoveel. Een zeer zekere populaire nieuwspagina wordt er ook een stuk minder irritant van.

Kortom; ik kan iedereen aanbevelen om (indien mogelijk) gewoon Flash te verwijderen of standaard uit te schakelen!
Ik heb Flash ook al een tijdje verwijderd uit mijn default browser. Afgezien van het niet fullscreen kunnen zien van video's op Tweakers en Youtube verandert er eigenlijk niet zoveel. Een zeer zekere populaire nieuwspagina wordt er ook een stuk minder irritant van.

Kortom; ik kan iedereen aanbevelen om (indien mogelijk) gewoon Flash te verwijderen of standaard uit te schakelen!
En dit word zo vaak geroepen. Het enige waar ik Flash uit heb staan is in Thunderbird en in Office. Want waarvoor gebruik je daar Flash voor? Juist ja.

Maar om Flash uit te schakelen in je browser? Dan moet je ook Javascript uitschakelen, ActiveX, Java, ... en bijna 80% van alle websites werkt niet correct.
Hoho dat roep ik niet. Javascript is onmisbaar voor een beetje plezierig surfen. Flash daarentegen is zo goed als obsolete geworden, mede door de populariteit van Iphone en Ipad. Kan je (wat mij betreft) dus rustig uitschakelen dan wel verwijderen.

[Reactie gewijzigd door Teejoow op 8 februari 2013 15:58]

Ik kijk anders bijna net zo vaak op de BBC website als hier, en daar staat alle media via.... Flash.
Dus ik heb flash soms nodig, breaking news en dat soort dingen, of ik wil gewoon dat filmpje/geluidsfragment zien of horen omdat ik geinteresseerd ben in het onderwerp.
Obsolete? Echt niet!

Die site is verrekte groot, en staat geloof ik of in de top 5 of top 10 van best bezochte sites ter wereld. Dus voor hun is het een reuze taak om het om te smijten naar html5. Maar ik wou dat ze met nieuwe paginas dat eens deden, dan kan ik met de Lumia ook volledig toegang krijgen. En flash kan een stille dood sterven, wat zelfs Adobe wil.
ActiveX en Java kun je inderdaad beter ook uitschakelen. Iedere week wordt er wel een lek gevonden in Java en ActiveX is al onveilig sinds het uitgebracht is. Er is toch niemand die nog ActiveX gebruikt op z'n sites want alleen IE ondersteund dat, en IE wil je toch niet gebruiken als je iets om security geeft.
Javascript uitzetten is niet nodig, dat wordt door de browser geinterpreteerd en is dus makkelijker veilig te houden.

Ik heb in mijn browser geen ActiveX, Java of Flash en 99% van alle sites doet het prima. De andere 1% zijn video's die niet af willen spelen, maar daar biedt Chrome een oplossing voor :)
Als ik die pagina zo bekijk is de 11.6 beta niet betroffen? Hij staat er in ieder geval niet tussen. Dat vind ik toch een beetje vreemd eigenlijk.
http://labs.adobe.com/downloads/flashplayer.html -> eind Januari was de laatste update.
Ik wordt onderhand helemaal gek van die flash updates. Op Java na gebruik ik geen andere software die zo vaak om updates zeurt.

Wanneer gaan we dan eindelijk oven op html5? Dan is dat flash gezeur toch afgelopen?
Flash wel, maar dan heb je altijd nog Java en Adobe Reader wat iedereen ge´nstalleerd heeft s taan. De echte oplossing zou zijn:
- Updates voor Java/Flash/Adobe moeten minder obtrusive zijn. Daarnaast wil ik niet elke keer goed op hoeven letten of er geen toolbar meege´nstalleerd wordt.
- Firefox gaat plug-ins niet meer automatisch laden (al is Flash hiervan uitgezonderd)
Wat is er met itunes?
Die zeurt ook vaak om updates.
Eerste wat ik denk: alweer een update voor flash! Mijn computer gaat doorgaans op standby, maar elke keer als hij dan een keertje opnieuw moet opstarten, bijv. Na Windows update, dan komt flash ook weer zeuren om updates. Vroeger, toen had je gewoon 2x per jaar ofzo een nieuwe versie, nu 2x per maand voor mijn gevoel. Misschien komt dat ook omdat ik meerdere computers heb, en de melding dus ook vaker lang komt voor je gevoel.
Maar naar mijn idee moeten ze minder updaten, en gewoon betere software maken ;) het is veel te gecompliceerd, voor iets wat eigenlijk geen drol hoeft uit te voeren. ( net als Adobe reader ;) )
Dat is niet alleen jouw gevoel, het is ook zo.
Enkel deze maand al heb ik zeker 5 keer een pop-up gekregen van Flash voor een update.
Op dit moment draait update 37, dit was rond de jaarwisseling nog update 24, toen ik mijn install deed rond september update 17.
Gemiddeld vraagt Flash minstens 1 keer per week of ik een nieuwe update die beschikbaar is wil installeren.
Het enige programma wat nog vaker update is mijn virusscanner :P
Niet alleen flash. Ook Java kan hier wat van.
Gelukkig installeert mijn Firefox/Adobe de updates nu automatisch zonder dat ik er iets van merk.

Mensen die klagen om de vele updates moeten maar gewoon hun internetverbinding afsluiten en op de bank een boek lezen. Het is gewoon de realiteit tegenwoordig dat veel programma's snelle updates behoeven. De software is zeer veelzijdig maar daardoor ook gecompliceerd en niet alle bugs zullen daardoor in een keer opgemerkt worden. Wees blij dat er snel gereageerd wordt, anders zit je lange perioden met lekke software te werken en wordt je gewoon geinfecteerd.

Goed werk van Adobe dus!
Ik kom wel eens bij mensen thuis om computer probleempjes op te lossen. Je wilt niet weten hoe vaak ik rode, oranje en zelfs blauwe icoontjes zie staan. Dat zijn dus Flash of Actobat (bijv. versie 9.x), Java (6.x) en Windows Update (zelfs een keer een Service Pack).
Als je hun er op attendeert zeggen ze dat die programma's toch werken? en geen updates nodig hebben, waarschijnlijk denkende dat het om extra functionaliteit gaat.

Op dit item kan niet meer gereageerd worden.



Populair: Nokia Lumia 930 Nokia Websites en communities Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013