Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 48, views: 13.024 •
Submitter: WSPU

Adobe heeft een noodpatch voor de Flash Player uitgebracht die drie lekken in de software dicht, waarvan er twee actief misbruikt werden door kwaadwillenden. Twee weken geleden bracht Adobe ook al een patch tegen kritieke lekken in de Flash-speler uit.

Een van de exploits richt zich met name op een kwetsbaarheid in Flash voor Firefox. Adobe introduceerde een jaar geleden sandbox-functionaliteit bij Flash voor Firefox om gebruikers te beschermen tegen misbruik van lekken. Een mogelijkheid om met toestemming uit de beschermde omgeving te komen wordt nu in de praktijk misbruikt. Kwaadwillenden probeerden gebruikers te laten klikken op een link, die naar websites met waarop besmette Flash-content leidde.

De update van Flash Player, met versienummer 11.6.602.171, is vanaf woensdag te downloaden maakte Adobe bekend. Adobe classificeert de drie oplapmiddelen voor Windows en Mac op niveau 1, wat inhoudt dat installeren de hoogste prioriteit heeft. Voor Linux-versies ligt de prioriteit op niveau 3; wat aangeeft dat gebruikers de update moeten installeren wanneer het kan.Adobe Flash Player logo

De patch die Adobe uitbrengt is de vierde in een maand. Op 7 februari werd er een patch online gezet om andere beveiligingsproblemen te dichten. Daarbij kon met een gemanipuleerd pdf-bestand de sandbox-beveiliging van Reader worden omzeild, waardoor hackers eigen code konden uitvoeren.

Op 12 februari werd er een patch online gezet die onderdeel was van de reguliere update-ronde van Adobe en ook op 20 februari kwam Adobe met een patch. Het ging om twee vergelijkbare bugs, die het allebei mogelijk maakten om de zogeheten sandbox-beveiliging te omzeilen.

Reacties (48)

Wel netjes dat ze zo snel reageren. Daar kan Oracle nog een puntje aanzuigen
Inderdaad, maar aangezien de lekken al misbruikt werden toch nog ietwat te laat. Desalniettemin is het hoe dan ook verstandig om in je browser altijd plugins uit te schakelen.
Click to play, hoe irritant het ook kan zijn, kan een hele hoop ellende schelen.
Inderdaad, maar aangezien de lekken al misbruikt werden toch nog ietwat te laat. Desalniettemin is het hoe dan ook verstandig om in je browser altijd plugins uit te schakelen.
Click to play, hoe irritant het ook kan zijn, kan een hele hoop ellende schelen.
Dit heb ik inderdaad ook al tijden in Chrome ingeschakeld, sowieso een veel snellere internet experience omdat het niet constant op elke pagina Flash inhoud hoeft te laden en af te spelen, met als voordeel dat die Flash ads ook direct ophouden.
Ik klik zelf handmatig aan welke plugin ik in wil schakelen bv bij een Youtube video.

[Reactie gewijzigd door Dylan93 op 27 februari 2013 16:51]

Tweakers meld alleen nieuws over een Oracle/Java patch als Oracle of Java te bashen valt. De security update van 19 februari wordt gewoon niet vermeld.
Ik vraag me af hoe snel Internet Explorer 10 deze update mee neemt, aangezien ze nu dezelfde Flash enbedded update methode als Chrome hanteren. Weet iemand hier meer vanaf?

Edit: deze versie heeft het advies meegekregen om binnen 72 uur te installeren.

[Reactie gewijzigd door Jimmy89 op 27 februari 2013 13:43]

Net de flash update voor IE gewoon handmatig over IE10 gezet.
Was me nog niet bewust van deze verandering, maar het werkt zo wel gewoon.
Ik vraag me af hoe snel Internet Explorer 10 deze update mee neemt, aangezien ze nu dezelfde Flash enbedded update methode als Chrome hanteren. Weet iemand hier meer vanaf?
Komt gewoon binnen via Windows Update.
Waren de lekken niet te misbruiken onder linux of werden deze niet gebruikt?
Wordt helemaal ziek van Flash en Java. Weet iemand een plugin voor Firefox welke Java/Flash standaard uitzet (klick-to-play is prima) en de mogelijkheid geeft om websites te whitelisten. Wij gebruiken bepaalde corporate Java applet applicaties, dus java plugin moet aanwezig blijven.
Ik gebruik al jaren Flashblock en ben daar heel tevreden mee. Het valt daarmee voornamelijk op hoe weinig je Flash tegenwoordig nog nodig hebt voor belangrijke zaken/cruciale functionaliteit.

https://addons.mozilla.org/en-US/firefox/addon/flashblock/

[Reactie gewijzigd door Maurits van Baerle op 27 februari 2013 13:54]

Bedankt! Die had ik al inderdaad, voor java is wat moeilijker geloof ik (incl. site whitelisten) ;)
Volgens mij zijn ze bezig om Click to Play standaard te maken voor alle plugins.

Putting Users in Control of Plugins Ik weet niet hoe ver ze daar al mee zijn maar misschien is het al experimenteel aanwezig en moet je het alleen aanzetten.
Wordt helemaal ziek van Flash en Java. Weet iemand een plugin voor Firefox welke Java/Flash standaard uitzet (klick-to-play is prima) en de mogelijkheid geeft om websites te whitelisten. Wij gebruiken bepaalde corporate Java applet applicaties, dus java plugin moet aanwezig blijven.
about:config -> plugins.click_to_play -> true

Click-to-play zit al in Firefox, maar is nog niet te activeren via de GUI. Natuurlijk zijn er ook extensies die kunnen helpen (zie de post van Maurits).

[Reactie gewijzigd door The Zep Man op 27 februari 2013 14:07]

Let op! Click to play heeft geen whitelist mogelijkheid. Als je dat zoekt zul je Flashblock moeten gebruiken. Dit is bijv. nodig voor Vimeo filmpjes.
mmh volgens firefox is mijn flashplayer up2date, niet dus 11.6 r602 168
Voor mij is de teleurgang begonnen met de overname door adobe, maar dat was versie 9
Flash overgenomen door adobe ?
Flash is een uitvinding van Macromedia, een bedrijf dat door Adobe is overgenomen in 2005.
O ja klopt effe vergeten :)
Het Flash-platform was vroeger eigendom van Macromedia. Bij de overname in december 2005 kreeg Adobe dus ook Flash (Player) in handen. De laatste release door Macromedia was v8.
Flash zelf (buiten de exploits om) is alleen maar beter geworden sinds versie 10, vooral op het gebied van hardware acceleratie en 3D features. Wij gebruiken het dan ook nog steeds veel op narrowcasting en kiosk systemen. Er is eigenlijk weinig wat (met dezelfde performance) zo veel functionaliteit biedt en zo wijd verspreid is.

Gelukkig zijn dit wel systemen die hun content niet direct van verschillende sources halen, maar alleen communiceren met onze servers en dus niet direct last hebben van deze exploits.
Adobe dicht drie lekken in zijn Flash-speler en stuurt bij de update bloatware mee in de vorm van McAfee Security Scan Plus http://forums.adobe.com/thread/722513

[Reactie gewijzigd door CmdJohnson op 27 februari 2013 14:02]

Oracle is nog erger, die probeert je bij elke Jave update de Ask Toolbar door de maag te splitsen.

Het is irritant dat sommige sites het nog nodig hebben, maar het liefst ben ik z.s.m. van beide plugins af.
Ik heb nog nooit een toolbar gezien bij de java installatie, je moet gewoon de offline installer downloaden die heeft dat niet ;)
De installer vanaf ninite is clean :

http://www.ninite.com/flash
en ook silent?
want ik wil DE melding van flash update NOOIT MEER ZIEN! ik wil dat automatisch downloaden en updaten van flash altijd in achtergrond gebeurt, zonder dat ik ervan merkt. na het updaten mag het wel een melding "flash update geslaagd" weergeven.
Gewoon de exe file downloade hierboven in een reactie, bij deze kan je na installatie aangeven of die automatisch mag updaten.
Verder kan je ook chrome gebruiken die update flash player bij elke versie van chrome, chrome update automatisch dus heb je nergens last van :-).

[Reactie gewijzigd door Carlos0_0 op 27 februari 2013 18:38]

Installeer Secunia PSI voor Windows, die update de meeste high profile internet software automatisch op de achtergrond.

http://secunia.com/products/consumer/psi/

[Reactie gewijzigd door Henk Poley op 27 februari 2013 21:53]

ze mogen ook eens iets doen aan hun memory leaks en plug-in crashes....

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013