Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken
Adobe heeft een tussentijdse patch uitgebracht voor zijn Flash Player-software, vanwege twee beveiligingsproblemen die in de software waren ontdekt. De bugs werden in het wild misbruikt, en daarom is de patch vijf dagen eerder dan gepland naar buiten gebracht.
Eigenlijk was Adobe van plan om dinsdag een update voor zijn Flash Player uit te brengen, in lijn met het periodieke schema voor patches, zoals ook veel andere bedrijven dat hanteren. Dat zo kort vooraf is besloten om een tussentijdse patch uit te brengen, benadrukt de ernst van de beveiligingsproblemen. Het gaat om twee bugs, die het beide mogelijk maken voor aanvallers om eigen code uit te voeren.
Beide beveiligingsproblemen werden in het wild misbruikt en maakten het voor aanvallers mogelijk om een malafide Flash-object in een Word-document te verstoppen. In de praktijk werden die Word-documenten per mail verzonden aan potentiële doelwitten. Een van de twee bugs maakte bovendien Firefox en Safari op OS X kwetsbaar voor de aanval, waarbij gebruikers besmet konden raken door een website te bezoeken die een speciaal geprepareerd Flash-object bevatte. Dat Chrome niet kwetsbaar was, betekent waarschijnlijk dat de bug niet uit de beveiligde omgeving van Chrome kon ontsnappen; Firefox voor OS X beschikt daar vooralsnog niet over.
Beveiligingsproblemen in plug-ins als Java en Flash worden vaak gebruikt door aanvallers om malware te verspreiden. Uit onderzoek van zowel Kaspersky als Cisco blijkt dat kwetsbaarheden in Java het vaakst worden misbruikt om malware te verspreiden. Daarvoor worden vaak exploit-kits gebruikt, die kwetsbaarheden in software misbruiken om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.
Reacties (44)
Ik zal hem snel updaten naar de laatste versie.
Edit: Typo
[Reactie gewijzigd door Dobbelstein op 9 februari 2013 15:18]
wut??HTLM5 plugin voor Firefox
Mensen die klagen om de vele updates moeten maar gewoon hun internetverbinding afsluiten en op de bank een boek lezen. Het is gewoon de realiteit tegenwoordig dat veel programma's snelle updates behoeven. De software is zeer veelzijdig maar daardoor ook gecompliceerd en niet alle bugs zullen daardoor in een keer opgemerkt worden. Wees blij dat er snel gereageerd wordt, anders zit je lange perioden met lekke software te werken en wordt je gewoon geinfecteerd.
Goed werk van Adobe dus!
Als je hun er op attendeert zeggen ze dat die programma's toch werken? en geen updates nodig hebben, waarschijnlijk denkende dat het om extra functionaliteit gaat.
Maar naar mijn idee moeten ze minder updaten, en gewoon betere software maken
het is veel te gecompliceerd, voor iets wat eigenlijk geen drol hoeft uit te voeren. ( net als Adobe reader )
Enkel deze maand al heb ik zeker 5 keer een pop-up gekregen van Flash voor een update.
Op dit moment draait update 37, dit was rond de jaarwisseling nog update 24, toen ik mijn install deed rond september update 17.
Gemiddeld vraagt Flash minstens 1 keer per week of ik een nieuwe update die beschikbaar is wil installeren.
Het enige programma wat nog vaker update is mijn virusscanner
Wanneer gaan we dan eindelijk oven op html5? Dan is dat flash gezeur toch afgelopen?
- Updates voor Java/Flash/Adobe moeten minder obtrusive zijn. Daarnaast wil ik niet elke keer goed op hoeven letten of er geen toolbar meegeïnstalleerd wordt.
- Firefox gaat plug-ins niet meer automatisch laden (al is Flash hiervan uitgezonderd)
http://labs.adobe.com/downloads/flashplayer.html -> eind Januari was de laatste update.
Kortom; ik kan iedereen aanbevelen om (indien mogelijk) gewoon Flash te verwijderen of standaard uit te schakelen!
En dit word zo vaak geroepen. Het enige waar ik Flash uit heb staan is in Thunderbird en in Office. Want waarvoor gebruik je daar Flash voor? Juist ja.Ik heb Flash ook al een tijdje verwijderd uit mijn default browser. Afgezien van het niet fullscreen kunnen zien van video's op Tweakers en Youtube verandert er eigenlijk niet zoveel. Een zeer zekere populaire nieuwspagina wordt er ook een stuk minder irritant van.
Kortom; ik kan iedereen aanbevelen om (indien mogelijk) gewoon Flash te verwijderen of standaard uit te schakelen!
Maar om Flash uit te schakelen in je browser? Dan moet je ook Javascript uitschakelen, ActiveX, Java, ... en bijna 80% van alle websites werkt niet correct.
Javascript uitzetten is niet nodig, dat wordt door de browser geinterpreteerd en is dus makkelijker veilig te houden.
Ik heb in mijn browser geen ActiveX, Java of Flash en 99% van alle sites doet het prima. De andere 1% zijn video's die niet af willen spelen, maar daar biedt Chrome een oplossing voor
[Reactie gewijzigd door Teejoow op 8 februari 2013 15:58]
Dus ik heb flash soms nodig, breaking news en dat soort dingen, of ik wil gewoon dat filmpje/geluidsfragment zien of horen omdat ik geinteresseerd ben in het onderwerp.
Obsolete? Echt niet!
Die site is verrekte groot, en staat geloof ik of in de top 5 of top 10 van best bezochte sites ter wereld. Dus voor hun is het een reuze taak om het om te smijten naar html5. Maar ik wou dat ze met nieuwe paginas dat eens deden, dan kan ik met de Lumia ook volledig toegang krijgen. En flash kan een stille dood sterven, wat zelfs Adobe wil.
Research van FireEye
Je vind hier tevens een lijstje met alle URL's die je op je netwerk niveau kan laten blokkeren. (C&C servers)
Het blijkt dat de taalinstelling van het Word document in het Chinees was, waardoor er nu (opnieuw) lijnen worden getrokken met een Chinese aanval.
Kennelijk heeft Lockheed hier ook last van gehad, gebaseerd op het volgende artikel met de overige achtergrond informatie:
https://www.security.nl/artikel/45096/1/Nieuwste_Flash-aanval_afkomstig_van_Chinees_systeem.html
Wat ik nog mis in dit artikel is dat Adobe nu (opeens
) naar de Flash beveiliging bij Office pakketten ouder dan 2010 onder de loep wil nemen (uiteraard gebaseerd op één van de 0day lekken):https://www.security.nl/artikel/45092/1/Adobe_wijzigt_werking_Flash_in_Microsoft_Office.html
Edit: toegevoegd dat C&C URL's op de FireEye pagina gevonden kunnen worden.
[Reactie gewijzigd door Jimmy89 op 8 februari 2013 15:51]
Mijn advies is al jaren om flash/java/etc eraf te pleuren tenzij je het perse nodig hebt. En een paar video's vallen niet onder "perse nodig", je komt op kantoor om te werken.
Ik heb op m'n werk-pc (ubuntu) al jaren geen flash of java plugin meer. Youtube werkt prima met Chrome en de ingebouwde H264 support en irritante flashbanners mis ik niet
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Microsoft Apple Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
