Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties

Adobe verwacht in de week van 19 oktober een patch te kunnen uitrollen die het kritieke lek in de nieuwste versie van Flash Player voor Windows, Mac en Linux moet dichten. Volgens Adobe wordt het lek op kleine schaal gericht misbruikt.

Het bedrijf erkent op het Adobe Security Bulletin het bestaan van de kwetsbaarheid in Flash Player 19.0.0.207 en oudere versies voor Windows, Macintosh en Linux. Het lek werd ontdekt door Peter Pi van Trend Micro en zou misbruikt worden in Operation Pawn Storm, een aanval van hackers die het gemunt heeft op politici en overheidsinstanties.

Met de exploit kunnen kwaadwillenden systemen laten crashen en mogelijk de controle over apparaten overnemen. Wanneer Adobe de patch precies uitbrengt is nog niet bekend. De softwaremaker zegt te verwachten dat de update in de week van 19 oktober gereed is.

Moderatie-faq Wijzig weergave

Reacties (79)

Nieuwste versie 19.0.0.226 is inmiddels te downloaden:
https://get.adobe.com/nl/flashplayer/?fpchrome

Ook beschikbaar via SCUP voor SCCM gebruikers.
Het wordt tijd dat alle videoplayers overgaan op HTML5. Dat zou al veel Flash installaties schelen. Flash is niet meer van deze tijd en zorgt voor teveel kwetsbaarheden.

Ik neem aan dat deze kwetsbaarheid ook Chrome aantast aangezien daar Flash is ingebouwd?
Html 5 heeft ook exploits, sommigen daarvan zijn al meer dan 2 jaar bekend en nog steeds niet gepatched.

Dus nee html5 is niet een magische oplossing!
The initial research was carried out in the spring of 2013 and was redone in July 2015. Scientists used well-known security bugs in Firefox and Internet Explorer and tested out their HTML5-based obfuscation techniques using the VirusTotal antivirus engine aggregator.

While all exploits were detected without using obfuscation, when researchers applied their HTML5-based techniques, both in 2013 and in 2015, very few to none antivirus engines were able to detect them.
Wat ik opmaak uit jouw quote is dat er technieken van HTML5 gebruikt kunnen worden om andere exploits te verhullen. Dit betekend dus niet dat er een exploit zit in HTML5.
Niet helemaal waar, html5 kan zeer zeker gebruikt worden om slachtoffers te maken onderstaand een voorbeeld
Same Origin Policy (SOP) dictates cross domain calls and allows establishment of cross domain connections. SOP bypass allows a CSRF attack vector to be deployed; an attacker can inject a payload on a cross domain page that initiates a request to the target domain without the consent or knowledge of the victim. HTML5 has one more method in place called CORS (Cross Origin Resource Sharing). CORS is a “blind response” technique and is controlled by an extra HTTP header “origin”, which when added, allows the request to hit the target. Hence, it is possible to do a one-way CSRF attack. It is possible to initiate a CSRF vector using XHR-Level 2 on HTML5 pages. This can prove to be a really lethal attack vector. In this attack, XHR establishes a stealth connection – using the POST method, a hidden, XHR connection can be set using the attribute “withCredentials” set to true. Doing so allows cookies to be replayed and helps in crafting a successful CSRF or session riding scenario. Interestingly HTML 5 along with CORS allows performing file upload CSRF as well. Hence, without the victim’s consent or knowledge, a file can be uploaded using the victim’s account. Imagine your photo on Google or Facebook being changed while browsing an attackers page
Html 5 is een standaard, de standaard zelf bevat geen exploits. De implementaties van die standaard (oftewel de browsers) kunnen wel exploits bevatten.

Door de overstap van flash naar html5 komt de beveiliging meer bij de browserbakkers te liggen en niet meer bij Adobe. Dit lijkt mij alleen maar een grote stap voorwaarts aangezien Adobe overduidelijk verzuimt een structurele oplossing te verzinnen voor alle beveiligingslekken in Flash.
Gelukkig kan je in Chrome, Flash uitschakelen :).

Dit doe je zo:

Open een Chrome-venster en type in de adresbalk 'chrome://plugins/' (zonder aanhalingstekens). Druk op enter om bij de plugin-instellingen uit te komen.

In dit scherm zie je welke plugins er allemaal draaien in Chrome. Adobe Flash Player staat daar ook tussen. Hier hoef je alleen maar op uitschakelen te drukken.
Moet je niet eerst Flash installeren om het uberhaupt in te schakelen?
Flash is ge´ntegreerd in Chrome. Hier kun je er meer over lezen, onder andere een manier om handmatig te updaten en een manier om de plugin uit te schakelen.

Let vooral op de zin:
Adobe Flash Player is automatisch aan Chrome toegevoegd en wordt geŘpdatet wanneer Chrome wordt geŘpdatet.

[Reactie gewijzigd door 3raser op 15 oktober 2015 11:48]

Nee, het wordt meegeleverd met Chrome.
Nee, Flash zit standaard ingebakken in Chrome en behoeft geen losse installatie daarnaast.
Nee, Flash zit standaard ingebouwd bij Chrome.
Dat is wel erg kort door de bocht. Flash is meer dan een videoplayer. Er worden hele interfaces in gebouwd en het dient nog meer doeleinden.
Mjah, of het nou echt zo goed is voor 'hele interfaces' is natuurlijk maar de vraag. Voor video's en vooral voor spelletjes is het terecht populair, maar dat moet ook geen jaren meer duren. Ik ben geen Apple-fan maar Steve Jobs had wat mij betreft het grootste gelijk van de wereld toen hij Flash afwees.
Ik kan me niet aan het idee onttrekken dat er meer kwetsbaarheden in flash worden gevonden dan in operating systems, terwijl die laatste een veelvoud aan regels code bevatten. Na een kleine zoektocht kwam ik de volgende bron tegen: http://www.gfi.com/blog/m...and-applications-in-2014/. Ik weet niet precies waar de NVD zijn data op berust, maar hun cijfers zijn toch wel zorgwekkend te noemen. En dan doel ik niet alleen op flash, maar ook de drie meest gebruikte browsers, de linux kernel en apple OSes scoren laag.
Vergis je niet hoor, alle browsers hebben ook gewoon veiligheidslekken in hun HTML5 implementaties.. Wel fijner dat dan het probleem bij de browsers zelf ligt en niet bij 1 of andere externe plugin..
Alsof HTML5 zo veilig is.
HTML5 is een standaard, daar is niets veilig of onveilig aan. De implementatie van de standaard (lees de browser) moet veilig zijn.
Cross site scripting misschien?
Websockets misschien?

Het wel of geen standaar zijn zegt niets over het al dan niet veilig zijn.

[Reactie gewijzigd door repeP op 15 oktober 2015 13:34]

Cross site scripting misschien?
Websockets misschien?

Het wel of geen standaar zijn zegt niets over het al dan niet veilig zijn.
Leuk dat je exact 2 browserimplementaties van HTML 5 opnoemt. Iets wat ik trouwens in mijn post heb benoemd. HTML 5 = Standaard. Deze Standaard is niet veilig of onveilig. De browser implementatie (oftewel de zaken die je benoemt) kunnen veilig of onveilig zijn, maar dit heeft helemaal NIETS met HTML 5 te maken!

Flash is geen standaard, het is een formaat bedacht door Macromedia waar de specificatie van nooit tot standaard is benoemd. Macromedia (Adobe) is dan ook de enige die officieel software voor Flash kan maken. Deze software is zo lek als een vergiet. Daarom HTML 5 > Flash.
Zinloos om de veiligheid op te gaan hangen aan implementaties van papieren standaarden. En al helemaal om dan en gevolgtrekking te maken dat 'dus' HTML5 beter zou zijn dan Flash.

Tenzij je denkt dat Websocket geen standaard is. Dat kan natuurlijk ook.

[Reactie gewijzigd door repeP op 15 oktober 2015 14:02]

Ja ik ben gestopt met Crunchyroll omdat ik die flash troep niet op mijn laptop wil hebben.

Ben al geen fan van streamen (behalve netflix die zijn wŔl technisch competent) maar als je dan ook nog in je hoofd haalt om flash te gebruiken voor een betaalde dienst... ja geen wonder dat je verliest van piraterij. Rage.
En dan? HTML5 is ook nog altijd niet zaligmakend. Zolang HTML5 video een niet vrije codec blijft ondersteunen zal men daar altijd apparaten blijven uitsluiten. Het word tijd dat videoplatformen verschillende bestandsformaten gaan ondersteunen wil men Flash kunnen wegdoen voor het afspelen van video.
Kwetsbaarheden op internet!!! Gauw in een hoekje of onder je deken kruipen voordat we er allemaal aan gaan waaaah!!! :o :o
Flash = crapware. Alle internet sites moeten afspreken om binnen twee jaar over te gaan op HTML5 en HTML5-video. Gelukkig dat ik Google / YouTube steeds meer zie overstappen op HTML5-video.
Omdat Flash vandaag voor dingen gebruikt word waar het initieel niet voor ontworpen is. Flash is een technologie die nog stamt uit de tijd van een dial-up modem waarbij men internet interactiever wenste te maken. Net als Shockwave stamt deze technologie uit 1995.

En compatibiliteit behouden met oudere versies brengt ook weer bijkomende complexiteit met zich mee. Dit alles zorgt voor mogelijke veiligheidslekken.

En flash zomaar overborrd gooien gaat ook niet. Mensen blijven er toch gebruik van maken, zelfs al ondersteun je het niet meer (kijk maar naar WinXP).

Niemand verplicht je trouwens om Flash te gebruiken of te installeren. Ik zie dan ook niet in wat voor rechtzaak je zou aanspannen. Het is niet alsof Adobe dit moedwillig doet.
Laat het even weten wanneer je een rechtszaak begint tegen Adobe, ik zou het met bovenmatige interesse volgen 8-)
Ik denk dat ie een kickstarter nodig heeft. Conservatieve schatting: 10 top advocaten plus staf full time voor 3 jaar.
Daarom ben ik heel benieuwd hoe het gaat aflopen en zal ik het graag volgen. Iemand uit Nederland die het in zijn eentje gaat opnemen tegen een softwarereus uit de naam van het hele internet :D
Voor de firefox users: FlashDisable (toggle button) https://addons.mozilla.or...don/flashdisable/?src=api Fijn flash aan en uitzetten wanneer nodig. Zul je zien hoe weinig je het eigenlijk nodig hebt!

[Reactie gewijzigd door JustFogMaxi op 15 oktober 2015 11:28]

Je hebt toch gewoon click to run? Net als bij Chrome?

Oftewel je ziet een grijs vlak en als je er op klikt kan je Flash voor dat vlak activeren...

[Reactie gewijzigd door watercoolertje op 15 oktober 2015 12:15]

Jep, je kan gewoon in about:addons (onder Plugins) 'Shockwave Flash' op Ask to activate zetten. Geen enkele plugin voor nodig.
Ja en dan? Wat denk je dat de meeste mensen doen als ze zo'n grijs vlak zien? Die klikken er op want die willen uiteraard de content zien.
Ja, maar je enabled dan wel alleen dat desbetreffende flash filmpje ipv dat je iets toggled waarmee je alle filmpjes goedkeuring geeft om te runnen.

Vind ik de standaard oplossing van de browser eigenlijk beter.
Als je in Firefox de Flash plugin installeert kun je in de instellingen van deze ook gewoon aangeven 'Altijd vragen' voor het activeren van Flash. Op een website met Flash krijg je dan een notificatie vergelijkbaar met een popup blokkade; wel/niet activeren. Geen extra Addon voor nodig hoor.
Het nadeel van activeren bij vragen is dat Youtube bijvoorbeeld als detecteert dat je flash geinstalleerd hebt en krijg ik geen html5 player. In je account kun je html5 standaard zetten maar ik yeb geen account en wil dat ook niet.
Je hebt ook extensies die dat voor je regelen. Een erg goeie is Magic Actions for Youtube. Die kan nog veel meer dan enkel een standaard player instellen. Er zullen vast ook simpelere extensies zijn.
Ik vind het altijd nog zo bijzonder dat bedrijven toegeven dat er een lek bestaat maar vooral vervolgens dit teniet willen doen door te zeggen 'ja maar, het wordt maar op kleine schaal gebruikt' Dus zo belangrijk is het niet. }:O

Klein, middel, groot en of XL, dit is de McDonalds niet. |:(

Het wordt al misbruikt, en het is ook nog eens een lek die wordt misbruikt voor bij een aanval op politici en overheidsinstanties. Zien zij de ernst van de gehele situatie niet in!? of denken ze echt dat gebruikers/developers/security instanties een stelletje amateurs bij elkaar zijn en flash maar zullen blijven gebruiken?

Het is tijd om flash achter ons te laten en ook al ziet Adobe dat ook in, ik denk dat Adobe een steuntje in de rug nodig heeft.
? of denken ze echt dat gebruikers/developers/security instanties een stelletje amateurs bij elkaar zijn en flash maar zullen blijven gebruiken?
Ze denken dat niet, het is gewoon zo. Ga maar eens na hoeveel % van gebruikers vandaag nog altijd een flashplugin in zijn browser heeft.
Helaas het merendeel. Aantal wordt wel flink ingekorte door de populariteit van mobile browsers die geen flash ondersteuning hebben, maar betreffende desktop nog meer dan de helft.

Gelukkig is dat aantal rustig aan het zakken :)
Je vergist je met wat er werkelijk gezegd wordt en wat 'reporters' publiceren met wat er gezegd is.
En toch hoor je de media elke dag mekkeren over gebruikers met ad-blockers.
Ik heb maar 1 antwoord: serveer de advertenties vanaf je eigen server(s), en neem verantwoordelijkheid als ze cryptolockers installeren.
Zelfs dßn installeer ik een ad-blocker. Vanaf eigen servers advertenties ververen biedt geen enkele garantie dat er geen problemen ontstaan, ook al is de kans wel kleiner.
Al zou een site al de verantwoordelijkheid nemen bij problemen (waarvan ik denk dat ze die niet zullen nemen), dan is het kwaad bij de gebruikers toch al geschied. Daarvan is de data inmiddels encrypted en die kan de getroffen site natuurlijk niet terug toveren.
Toch fijn dat er relatief snel een patch vrijkomt en Adobe verantwoording neemt door te erkennen dat er een lek zat en ze het snel op lossen. _/-\o_
Het zou fijn zijn als Adobe Flash gewoon afstoot.

/rant
Helaas werken veel sites e.d. nog met flash, denk aan educatieve systemen en dergelijke. Zolang die nog in flash ontwikkeld worden zal dit gewoon nog in gebruik blijven dus zal ook de veiligheid gegarandeerd moeten blijven .
In een ideale wereld kun je alles van de ene op de andere dag uitzetten.

In de realiteit zit Adobe met een emmer stront die je niet zomaar ergens kunt dumpen. Wat ik daarbij wel kwalijk vind is dat Adobe veel te weinig alternatieven aanbied om sneller flash uit te faseren, cq grote delen daarvan.
Wat ik daarbij wel kwalijk vind is dat Adobe veel te weinig alternatieven aanbied om sneller flash uit te faseren, cq grote delen daarvan.
Want dat is hun verantwoordelijkheid?
Ja, wiens dan?

Flash doet het over het algemeen best goed, maar het is een ondeugdelijk product. Om een of andere reden pikt de consument dat van ontwikkelaars en dat dat wordt opgelost met updates.


Aangezien het hier hoofdzakelijk gaat om zakelijke klanten mag je er van uit gaan dat Adobe 3 tot 5 jaar na verkoop van een release zorg blijft dragen, afhankelijk van de regio. Laatste versie is toch echt dit jaar uitgekomen! (Flash professional CC)
Zou betekenen dat we tot 2018~2020 om de haverklap deze discussie zullen voeren.
Die van niemand, want niemand moet het verplicht verbruiken :)

Maar als je toch perse iemand aan moet wijzen kan je naar de webdevelopers wijzen die het blijven gebruiken of niet vervangen met wat anders. Die zorgen dat het publiek Flash nodig blijft hebben, niet Adobe...

[Reactie gewijzigd door watercoolertje op 15 oktober 2015 12:14]

Met iOS is dat ook heel snel gegaan. Dus als browsers geen Flash meer ondersteuden is het binnen een jaar gebeurd.

Maar browsers blijven Flash ondersteuen, zo maakt FF een uitzondering voor Flash bij het uitfaseren van bepaalde plugins (ik weet niet welk soort) terwijl ze openH264 wel uitzetten.
Maar ook sommige websites (ja ook Tweakers !) blijven hardnekkig hun video's in Flash aanbieden.

De wereld op zijn kop.

[Reactie gewijzigd door skatebiker op 15 oktober 2015 14:33]

Zolang het nog gebruikt word is er voor Adobe geen reden dit uit te faseren?
Ja, wiens dan?
ISV's die Flash in hun produkten integreren.
Als het niet gebruikt wordt in andere produkten (Solarwinds, SaaS vendors, videostreaming diensten) dan vervalt het nut.
Flash professional CC output grotendeels HTML...
Hij kan nog wel SWF bestanden maken, maar by default is het tegenwoordig allemaal puur HTML5.
De alternatieven zijn er vandaag. Het meeste van wat je 10 jaar geleden in flash kon doen doe je vandaag gewoon in HTML5+CSS3+Javascript. Ik zie niet in wat Adobe daar nog meer aan kan toevoegen.
precies, html5 heeft flash volledig vervangen, zelfs drm.
Bij mij in het bedrijf doe het stapje voor stapje.. ben paar maand terug begonnen dat mensen bij elke flash website de plugin moeten toestaan (de gele balk in IE)

Vanaf volgende maand ga ik ActiveX filtering aanzetten en zijn alle plugins uitgeschakeld.

Tot nu toe alleen gebruikers horen klagen over de gele balk. Ben benieuwd hoe dit met activeX filtering gaat.
En wanneer ga je IE filteren? :+
IE en dan heb ik het over de latere versies zijn best redelijk,
en Edge is niet slecht, vergeleken met google chrome.
enige wat ik mis is plugin support maar dat is onderweg.
Klopt. Echter is de wereld niet ideaal, dus is het feit dat we blij mogen zijn dat een concern als Adobe de problemen erkent en via een relatief snelle patch oplost.
Een week kwetsbaar blijven vind ik anders niet snel hoor..
En nu zon beetje heel de wereld is kwetsbaar door deze zero-day exploit.
alsnog, binnen zo korte tijd met een patch dit verhelpen. Kunnen velen met een android device alleen maar van dromen met het android stagefright probleem waar na lange tijd door smartphone makers (niet Google) niets aan gedaan word. Nee neem dan een voorbeeld aan Adobe die het binnen een week verhelpt.
ja maar iets vergelijken met nog slechter heeft geen zin,
ja een week is beter dan niet..

maar dan nog een week kwetsbaar is een lange tijd om infected te raken. en natuurlijk moet er getest worden dat snap ik.
maar ik vraag me af of daar een week voor nodig is.
Op enkele uren krijg je dat ook niet rond. Een patch schrijven kan dan wel op enkele uren (afhankelijk van de complexiteit), daarna moet je nog altijd nagaan of deze patch niet meer kwaad kan dan goed kan.
Je bedoelt dat webdevelopers geen Flash meer moeten gebruiken, liever dat Adobe Flash niet afstoot zodat er toch nog beveiligingsupdates komen..
Een beetje meer informatie over Operation Pawn Storm.
De exploit is inmiddels al te vinden en ook een uitgebreide beschrijving hoe de exploit misbruikt kan worden op verschillende fora. (waar ik natuurlijk niet naartoe ga linken;))

Je kan er van uit gaan dat de exploit nu actief misbruikt gaat worden.

Mijn advies is dan ook even flash uitzetten ;)
Ik vraag me af of ze de Linux-versie van Flash dan omhoog halen naar v19. Zover ik weet staat die nog steeds op 11.2 omdat Adobe ze niet meer bijwerkt. Hoe het met de ingebakken Flash-functie van Chrome zit weet ik niet. Die zal wel door Google worden bijgewerkt.
Het wordt eens tijd dat er definitief een einde komt aan Flash. Gisteren nog een klant aan de lijn gehad die begin dit jaar nog een aantal Flash-bannertjes voor Google advertenties had laten ontwikkelen. Weggegooid geld dus. Flash, Silverlight, Java... Opbokken ermee.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True