Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Beveiligingsproblemen die voorkwamen in de Hacking Team-data die vorige week uitlekten, zijn door Microsoft en Adobe geplet. De bugs bevonden zich in Internet Explorer 11 en Flash; in ieder geval die in Flash werden actief misbruikt.

Internet Explorer 10 logo (75 pix)Een beveiligingsonderzoeker probeerde de bug in Internet Explorer te verkopen aan beveiligingsbedrijf Hacking Team, waarvan vorige week veel interne gegevens uitlekten. Het ging daarbij om een bug in Internet Explorer 11 op Windows 7 en 8.1, die nog niet was voorzien van een patch. Daardoor waren volledig bijgewerkte versies van Internet Explorer kwetsbaar.

Hoewel Hacking Team het beveiligingsprobleem uiteindelijk nooit kocht, bevatte de e-mailconversatie voor beveiligingsbedrijf Vectra genoeg informatie om te verifiëren dat de bug bestaat. "Hacking Team heeft het beveiligingsprobleem niet gekocht, maar er is een kans dat de onderzoeker zijn bug ergens anders heeft kunnen slijten, waardoor het beveiligingsprobleem wel kan zijn misbruikt", waarschuwt Vectra.

Inmiddels heeft Microsoft het beveiligingsprobleem echter al gepatcht, zodat bijgewerkte Windows-installaties met Internet Explorer niet meer kwetsbaar zouden moeten zijn. Het ging om een zogenoemde use after free-bug, waarbij een deel van het geheugen wordt aangesproken nadat het zojuist leeg is gemaakt. Daardoor crasht de software en kan eigen code worden geïnjecteerd.

De bug in Flash werd al actief misbruikt, zo bleek afgelopen weekend. Dit noopte Firefox ertoe de nieuwste versie van Flash te blokkeren. Inmiddels zijn ook die bugs opgelost, schrijft Threatpost. Zodra gebruikers de nieuwe update van Flash hebben geïnstalleerd, zou de plug-in dus ook in Firefox moeten werken. In totaal werden drie nieuwe beveiligingsproblemen bekend dankzij de vrijgekomen data van Hacking Team.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (56)

Het probleem van Flash is dat het op veel locaties gewoon nog nodig is. In GB bijvoorbeeld zijn bijna alle videodiensten van zenders zoals BBC nog Flash afhankelijk. Maar ook in Nederland als je random site X vaak bezoekt heb je in veel gevallen alleen Flash beschikbaar om dingen te kunnen doen en zien. Dat is ook wat Flash in leven houd.
HTML 5 vangt een deel van Flash op en ik vermoed dat heel veel websites en diensten kunnen overschakelen naar HTML 5 als ze puur video serveren. Het punt is echter dat veel websites dit niet doen; Flash werkt, veranderingen kosten geld en mensen zijn lui. Maar zelfs als plotseling de moral komt om Flash te shellen op website X voor HTML 5 heb je nog steeds website Y die gebruik maakt van features die Flash wel aanbied maar HTML 5 niet kan doen.

Zelfs met de enorme zwakte van Flash die 99,9% zeker door overheidsdiensten en hackersgroepen worden gebruikt voor in te breken bij mensen en bedrijven zullen we nog heel veel ajren aan Flash vast zitten.

Begrijp me niet fout; Toen Flash uit kwam was het een verademing; internet had daarvoor alleen Quicktime en Windows Media Player die zeer slecht embedded waren (of animated GIF's), vaak extra crap nodig hadden om te werken en dan nog codec issues hadden. De tijd voor Flash was een nachtmerrie. Maar nu begint Flash de nachtmerrie te worden die WMP en Quicktime vroeger op internet waren; Niet in usability maar in security. Dat is eigenlijk veel sluipender want vaak weet 'Jan-met-de-pet' niet hoe hij virus X heeft opgelopen terwijl het steeds vaker voorkomt omdat ze website Y bezochten waar Flashbanner Z gebruikt werd om exploit A te misbruiken voor het injecteren van virus X.

Genoeg gerant. Er moet een oplossing komen voor Flash. HTML 5 help om het aandeel van Flash de grond in te boren. Bedrijven die Flash op hun site kunnen vervangen voor HTML 5 moeten dit doen en hierin worden gestimuleerd. Bedrijven die dit niet kunnen moeten geholpen worden in de ontwikkeling van alternatieven.

@iceblink; Klopt. Websites zoals Spelpunt maken gebruik van de actieve elementen in Flash. HTML 5 kan dit niet goed opvangen. Java vangt het voor een deel op maar we weten dat Java ook in veiligheid te wensen over laat omdat het vaak fout wordt gebruikt.

[Reactie gewijzigd door Auredium op 15 juli 2015 10:12]

Ik denk dat een groter 'probleem' om van Flash af te komen de vele online spelletjes zijn!
Html5 games zijn de nieuwe standaard, zon beetje..

Waarom het werkt op alle devices.

Ik neem aan dat er nog weinig bedrijven zijn die flash games maken.

Ik denk ook dat het eerder het probleem is van alle bestaande games. Dat je deze niet zomaar weg kan gooien. Dan zouden game portals ineens een groot stuk van hun catalogus niks meer aan hebben.
Bestaande games zij het probleem? Dus, onbestaande games zullen inderdaad geen probleem zijn.

Het merendeel van de spelletjes is nog steeds gebaseerd op Flash.

HTML5 kan de nieuwe standaard zijn maar zoveel wordt ie niet gebruikt voor het maken van spelletjes. Niet vreemd ook aangezien je met Flash veel meer mogelijkheden hebt en het veel makkelijker werkt dan in HTML5.
hoe komt iedereen er toch bij dat je bij flash 'zoveel meer mogelijkheden hebt' dat is echt een verzinsel dat overgebleven is uit de tijd dat men flash met dhtml en jscript 1.1 vergeleek...

er is maar 1 plugin die slechter is dan flash en dat is silverlight.
java is al lange tijd aanzienlijk aan het verbeteren als het om beveiliging gaat. en html 5 wordt standaard gekozen als het voor nieuwe werken gaat, het probleem is niet dat flash meer kan, het probleem is dat een minor update in flash vele malen goedkoper is, dan een major rewrite naar html5

het feit dat sites (die notabene van ons belastinggeld worden betaald), zoals bijv: uitzending gemist (van de NPO) nog steeds werken met en platform dat notabene al door de maker zelf (MS) is afgeschreven tfv: html5 is dan ook ronduit schokkend.
Alle drie is het bagger;

Flash
- auto-update is traag met updates aanbieden/installeren. Handmatig updaten dan maar > irritante McAfee malware uit vinken
- 2 versies onder Windows voor IE en Firefox. Hangt af van je browser gebruik
- Voor sec het gebruik van Youtube heb je Flash niet meer nodig
- Binnen Chrome het voordeel dat het automatisch zit ingebakken, hoef je gelukkig niks voor te doen
- Binnen Firefox 'Vragen om te activeren' aanzetten

Silverlight
- updates worden gepushed via Windows update (zowel voordeel als nadeel). Haal je het eraf zit je met de irritatie dat je die updates moet verbergen.. elke.. silverlight.. update.. weer..
- kom het nauwelijks tegen, en als het wordt gebruikt is er vaak een Flash alternatief (uitzending gemist bijv.)

Java
- Gooi ik standaard van elke pc/laptop af die ik tegenkom. Of de browserplugins gaan standaard uit
- Vervelend update proces, en net als bij Flash opletten voor de vinkjes..
- Verschillende versies 32-bit/64-bit en software die soms een bepaalde major versie nodig heeft (6 of 7), als je het al gebruikt
- 32-bit/64-bit zorgt dan ook weer voor 2 aparte installaties. Veel OEM's pleuren ze er beide op, met als gevolg dat er als je geluk hebt maar 1 door de gebruiker wordt bijgewerkt

En dan nog een ander probleem van OEM's voor zowel Flash als Java, is dat je bij een herinstallatie weer op versie 0.1 uit de oudheid komt. Onwetende gebruiker denkt met een schone installatie weer veilig te zitten, maar komt bedrogen uit..
Silverlight kom ik ook nauwelijks tegen, op één grote speler na: Netflix
En nou weet ik niet of het een probleem is van Netflix of van Silverlight, maar ik heb nog nooit zo'n brakke video player gezien! Het is mij nog niet één keer gelukt een aflevering te kijken zonder dat audio/video grondig out of sync lopen. En met grondig bedoel ik niet 100 of 200 ms, maar een seconde of 5 a 10! Het geluid loopt stomweg een hele scene voor!!
Ahwel, de reden dat Netflix Silverlight gebruikt is omdat ze anders DRM (screencapture etc) niet voor elkaar kregen. Enerzijds snap ik dat, anderzijds, laat ze dan een goede oplossing bedenken!
Voor specifieke oplossingen in een specifieke browser op een specifiek platform is html5 misschien een oplossing. Er zijn nog steeds erg veel problemen als je html5 en interactieve audio wilt laten werken onder alle browser en platformen. Veel gave en specifiek voor Chrome geschreven demo's en games werken gewoon niet vaak gewoon of niet lekker onder bv Explorer, Safari of Firefox en vice versa. Kortom je komt in een comabililteits hel uit die je met Flash kon omzeilen.
En even voor de duidelijkheid ik ben geen Flash fan of adept, het is gewoon ervaring.Het zag er een paar jaar geelden nog veel belovend uit maar ipv naar elkaar toe groeienvan de browsers en dus meer compatibiliteit zie ik al weer een paar jaar totale stagnatie als het over audio en javascripts libraries gaat. En dan heb ik het niet over mp3tjes afspelen maar guild dat zonder lag triggered. Wat met Flash erg simpel te doen is.
Dat is wat ik zeg, meerendeel van de catalogus is nu nog flash, maar veel bedrijven maken nu liever html5 games..
Html5 is namelijk zeer populair.
En mooiste van alles is dat het cross platform werkt.

Vandaag de dag kan je net zoveel met html5 als met flash en heb je dezelfde tools voor html5

[Reactie gewijzigd door Zezura op 15 juli 2015 11:21]

HTML5 haalt het met mogelijkheden nog lang niet bij Flash, dus voorlopig is het nog niet afgeschreven.
Maar Adobe is er duidelijk wel mee bezig, met voorbereidingen van uitfasering want ze zijn flink bezig op HTML5-gebied. Dus zodra HTML5 qua mogelijkheden in de buurt van Flash komt, denk ik dat we snel een aankondiging kunnen verwachten.

Overigens denk ik dat we dan simpelweg naar de volgende technologie gaan die het doelwit wordt en als onveilig wordt bestempeld.
Uiteraard is Javascript al jaren een doelwit met zaken als crossscripting maar ik denk dat hackers wel nog wat creatiever zullen worden naar mate het ook meer voor games gebruikt gaat worden.
Daarnaast zou het mij niets verbazen dat zodra Unity meer gebruikt wordt voor games, deze ook een doelwit wordt.
Noem eens op wat flash wel kan en html5 niet, ik ben benieuwd..

Misschien dat ik iets door de vingers heb gezien.
HTML5 heeft nog veel browser-afhankelijke functionaliteit, oude tijden herleven dus.

HTML5 is zeer beperkt in 3D (als je het al tot HTML5 wil rekenen)

De performance van flash is beter:
http://krpano.com/docu/html5/comparison.html
http://flashvhtml.com/

HTML5 kan (nog?) geen streaming video spelen.

[Reactie gewijzigd door Crazy Harry op 15 juli 2015 15:14]

Performance is tegenwoordig vrijwel gelijk of html zelfs beter, of energie zuiniger.

Zeer beperkt in 3D, toch vreemd dat unity en Unreal een webGL exporter hebben.
Het is niet een volledige port van openGL dat geef ik toe maar het is anders aardig goed.
En jawel html5 video kan Wel streamen, zelfs adaptive streaming.. Met drm.
HTML5 heeft nog veel browser-afhankelijke functionaliteit, oude tijden herleven dus.
Wat voor mij het voordeel blijft bij Flash is een keer iets met Flash in elkaar gezet draait het op alles wat een FLASH plugin geinstalleerd heeft hetzelfde. Vooral het in elkaar zetten van games met geluid blijft een hel in HTML5 als het gaat om crossbrowser en crossplatform compatililiteit. En zoals ik boven al schreef is de ontwikkeling als het om crossplatform/ browser geluids javascript libraries ook al jaren stagnerend.

[Reactie gewijzigd door zap8 op 15 juli 2015 15:37]

Embedded data buiten het bereik van de website houden.
Zo kan Google informatie die het verzameld met een embedded flash filmpje verbergen voor de website waarin het fimpje geembed wordt.
Ik heb nog geen html5 versie gezien van mijn veelvuldig gespeelde Bubbels.

Omdat ik gisteren Flash heb verwijderd van mijn Mac, om te kijken hoe ver ik kom zonder dit stukje software, kan ik dat spelletje dan ook niet meer spelen.
http://ziango.com/nl/grat...rs-the-sun-temple/?menu=1

Alstublieft., en deze werkt in safari.

[Reactie gewijzigd door Zezura op 15 juli 2015 11:17]

En laat Firefox crashen op OS X.. :'(
Wist niet dat dat gebeurde.
Ik tik op google "Bubbles html5" in, en heb meteen beet.

[Reactie gewijzigd door Dorus op 15 juli 2015 10:36]

Deze doen het niet in Safari op de Mac, althans niet bij mij... Jammer.
Jammer, dan zit er niks anders op dan te wachten tot Safari een update krijgt, of te wisselen naar een andere browser met meer support. Bij mij werken ze wel in Firefox onder Windows (zonder Flash overigens, die heb ik hier niet).

Voordat we flash volledig kunnen afdanken zullen de alternatieven eerst wel iets verder moeten verbeteren, dat het in verschillende browsers al gewoon wel werkt is een goed teken dat dit niet al te lang meer zal gaan duren.
Omdat ik gisteren Flash heb verwijderd van mijn Mac, om te kijken hoe ver ik kom zonder dit stukje software, kan ik dat spelletje dan ook niet meer spelen.
Ik heb de laatste dagen veel mensen gehoord die gewoon Flash eraf gooien, maar dat is dus duidelijk ook niet de magische oplossing.

Ik heb al een hele tijd de optie aanstaan om Flash standaard uit te schakelen en als een website Flash nodig heeft moet ik deze expliciet activeren. Op deze manier kies je zelf waar en wanneer Flash uitgevoerd word.
90% van facebook games zijn flash, vooral de meest populaire games
maar die rotdingen lopen altijd vast, in welke browser dan ook

word tijd voor betere platform daarvoor, dus HTML5
HTML 5 vangt een deel van Flash op
Alleen niet de licentiegerelateerde zaken.
Zo zullen bedrijven die een licentie hebben om alleen lokaal bepaalde content te streamen flash of silverlight gebruiken om de stream voor users uit andere locaties te blokkeren.
Dat is iets wat op HTML5 nog niet werkt.
Dus bijvoorbeeld TV zenders en omroepen die meestal lokaal opereren zullen nu nog niet overgaan op HTML5 voor het leveren van hun content.

[Reactie gewijzigd door 80466 op 15 juli 2015 10:37]

IP based controle kan perfect (uiteindelijk vangt men dit server side op, ook vandaag). Daarnaast is er ook voor HTML5 video een DRM mogelijkheid
Nee, dat werkt niet perfect. Je hoeft alleen maar naar een random Geo-IP implementatie te kijken waarom niet.
En hoe denk je dat flash dat kan oplossen? Denk je dat de regio data in het OS betrouwbaarder is? Geo-ip locatie is, zonder toegang tot externe data zoals GPS of GSM provider, 1 van de weinige manieren om een redelijk goed beeld te krijgen van waar een persoon zich bevind.
Daarnaast is er ook voor HTML5 video een DRM mogelijkheid
Ondersteunen alle browsers die al goed dan? Pas dan kan er overwogen worden om over te stappen en zelfs dan zal dat nog wel een paar jaar duren omdat er natuurlijk ook een investering in zit om die oplossing te realiseren.
Ik denk dat pas als zowel de webbrowser als ook de web applicatie frameworks goede ondersteuning bieden voor die DRM features dat ze dan populair zullen worden.

[Reactie gewijzigd door 80466 op 15 juli 2015 13:09]

Voor datagraaiers (Facebook e.a.) is HTML5 inderdaad te prefereren boven Flash.
Ik vraag mijzelf af of je dan wel goed bezig bent als beveiligingsonderzoeker? Lijkt me niet dat dit de juiste manier is.
Zowel voor legale als illegale doeleindes heb je beveiligingsonderzoekers. Dit is er gewoon een black hat hacker.
ik neem aan dat het hier gaat om een freelance onderzoeker en die persoon wil ook geld verdienen
de vraag is eerder: hoeveel geld vroeg hij/zij?
Lijkt voor de hand liggend dat HT ook op de zwartemarkt inkoopt.

In ieder geval betrekken ze lekken van derden. Dit betekent dat deze meer dan 1 keer worden verkocht en daardoor bij meer partijen bekend zijn. Misschien is deze onderzoeker dan wel "eerlijk" maar dat neemt niet weg dat zulk soort bugs op termijn ook bij minder kosher partijen in handen komt.

Als 1 onderzoeker een specifiek lek kan vinden dan zal er ook nog een tweede en derde zijn die dit lukt.
Flash.... al ruim een jaar niet meer geïnstalleerd op mijn pc en ik mis er niets aan! Ook bij mijn ouders deze meuk verwijderd. Nooit problemen ondervonden.
Weet je héél zeker dat er geen flash op je systeem staat?
Bijvoorbeeld embedded in IE of andere software? (dus mee geïnstalleerd zonder dat je feitelijk flash zelf installeert).
Ik had maandag Flash van m'n computer afgegooid maar het zit bij mij inderdaad nog steeds gewoon in Chrome.

Voor hen die het in chrome expliciet willen uitzetten: tik in je adresbalk in chrome://plugins en zet het daar uit

edit: kan geen directe link naar chrome://plugins plaatsen

[Reactie gewijzigd door anargeek op 15 juli 2015 15:03]

Flash cookies ook verwijderd? Je speelt met het verwijderen van Flash overigens wel de datagraaiers (Facebook e.a.) in de kaart. Dat besef je?
Laat ik geen facebook gebruiken. En dan nog..... Je ontkomt toch niet aan de macht van de grote graaiers. Gaat mij om het feit dat er maar al te vaak veiligheids-issues zijn met Flash, waarom ik dus geen Flash wil. Tevens heb ik het niet eens nodig voor wat ik doe met mijn pc.
Lijkt mij verstandig dat Microsoft en andere bedrijven producten gaan afnemen van dit soort '"hacking"-bedrijven' om zo beveiligingsproblemen op te lossen...

De investeringskosten zijn 'laag', hoewel het oplossen dan weer veel geld kost. Maar dat is nog altijd minder dan achteraf de problemen fixen. Bovendien gebruik je dat soort '"hacking"-bedrijven' om extern fouten in je eigen code te vinden, én beveiligingsproblemen van software van derden waarvan je afhankelijk bent.
Denk niet dat het een goed idee is om deze bedrijven te motiveren.
Het idee zou dan ook moeten zijn om die producten te kopen onder een alternatieve (bedrijfs)naam. Zo houd je de kosten laag en ben je in feite ook anoniem.
Dan motiveer je ze nogsteeds, als niemand de producten af neemt kunnen ze niet blijven bestaan.
Hacking Team had een omvangrijk klantenbestand.

Dus er is (een grote) vraag naar zwakheden in software.
hacking team hun verdienmodel is erop gebaseerd om zwakheden in security te verzamelen en software om deze zwakheden te misbruiken te verkopen.

Maw. je wint er 0,0 mee om als troubleshootsysteem diensten af te nemen van hun: het hele verdienmodel van hacking team is erop gebaseerd dat ze net NIET vertellen wat de security flaws zijn in de software.

Dat is ook meteen het grote probleem met dergelijke firma's: ze hebben er alle baat bij om beveiliging niet te verbeteren en doen dat in feite ook actief door niet te vertellen welke security issues er zijn. Dat laat tevens zijn dat veel overheden geen flauw benul hebben wat het daadwerkelijke belang is van goede security, het melden van bugs en het oplossen van bugs. Oogkleppen op en brullen "war on terror!" scoort beter.

Hacking team was hopelijk de eerste van dergelijke bedrijven en ik hoop ten zeerste dat er nog vele mogen volgen. Dit is nog eens niet meer shady te noemen en gezien de klanten die op hun lijst voorkomen, vraag ik me zelfs serieus af hoeveel bloed ze aan hun handen hebben.
Ja, ik Vupen op m'n verlanglijstje staan om op die manier de wereld te worden uit geholpen.
Denk niet dat dit soort teams hun product wil verkopen aan microsoft etc. Anders zijn ze direct hun waarde kwijt tov al hun andere klanten.
Er wordt hier nog steeds gepraat over "de nieuwste versie van Flash"

Gaat het hier dan nog steeds om versie 18.0.0.203, zoals vermeld in het vorige artikel*, of gaat het dan ook om de daadwerkelijke nieuwste versie, 18.0.0.209?

(* nieuws: Firefox blokkeert nieuwste Flash-versie op Windows en Linux )
Ik zit me ook af te vragen wat nu de nieuwste versie is. Via deze link krijg ik 18.0 r0. Ik vermoed niet de nieuwste versie?
Gebruik deze: https://www.adobe.com/pro...player/distribution3.html

Daar staat versie 18.0.0.209 klaar voor zowel IE als andere browsers :)

Heb vanuit Firefox niet meer de melding gehad dat versie 209 geblokkeerd wordt
Hier nog steeds die vervelende melding in FF.

[Reactie gewijzigd door Obelink op 15 juli 2015 14:13]

Heel erg off topic maar je hebt wel gelijk:

Sommige delen van dit artikel zijn een contradictie van de bovenste plank inderdaad.

Ze halen zichzelf een zin later namelijk al onderuit:
de nieuwste versie van Flash te blokkeren
en
Inmiddels zijn ook die bugs opgelost
De contradictie is het gebruik van de term "nieuwste" in dit artikel, per definitie kan daarmee de nieuwste niet bedoeld worden want de problemen waren met een versie waarvoor bugs zijn opgelost er is dus een nieuwere versie dan die nieuwste versie waar de schrijver op doelt.
Maar nieuwer dan nieuwste is een taalkundige onmogelijkheid want nieuwste is de overtreffende trap van nieuwer.

Het doel van het gebruik van versienummers is onder andere om dit soort taalkundige problemen op te lossen.

Nieuw, nieuwer, nieuwste, vorige of oude zijn veel te vage termen om te gebruiken in de context van het artikel omdat een tijdsbepaling ontbreekt.
Mede daardoor is het oogpunt van de auteur "onbetrouwbaar", nieuwste in zijn belevingswereld is niet de meest recente versie op dit huidige moment van schrijven 15-7-2015 10:00, AM, CEST.

De datum die boven het artikel staat is eigenlijk niet goed bruikbaar als tijdsbepaling gezien dat de publicatie datum is, en niet noodzakelijkerwijze de datum/tijd waarop het artikel is geschreven en/of de datum/tijd waarop de beweringen zijn getoetst aan de werkelijkheid van dat moment.

[Reactie gewijzigd door Alfa1970 op 15 juli 2015 10:08]

het helpt wel de reactie-KPI omhoog (hoeveel ik al niet gezien heb dat de halve reactie-boom eigenlijk draait om interpretatie van foute of vage artikel-beschrijvingen, is niet meer te tellen - ik gok dat dit on purpose zo geschreven wordt..)
Gebruik deze link om te controleren welke Flash-player versie je gebruikt (in je browser waarmee je de link opent) en wat de nieuwste versie is: http://www.adobe.com//software/flash/about/

Op dit moment is de nieuwste versie voor de meeste players 18.0.0.209

- edit: url aangepast naar internationale pagina ipv Nederlandse pagina. NL loopt wat achter -

[Reactie gewijzigd door keverjeroen op 15 juli 2015 11:42]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True