Adobe brengt donderdag patch uit voor kritiek lek in Flash

Adobe ontwikkelt een patch voor een kritieke kwetsbaarheid in Flash, die volgens het bedrijf actief door kwaadwillenden wordt gebruikt op computers met Windows XP en Windows 7. De patch komt donderdag beschikbaar.

Adobe Flash PlayerAdobe vermeldt dat het bij de kwetsbaarheid gaat om cve-2016-1019, die dankzij de hulp van verscheidene beveiligingsonderzoekers is ontdekt. Onder hen zijn medewerkers van Google en FireEye, samen met de onderzoeker Kafeine, die onder andere de blog 'Malware don't need Coffee' bijhoudt. Het kritieke lek is aanwezig in versie 21.0.0.197 en eerder van Flash Player, maar Adobe stelt dat er in versie 21.0.0.182 van Flash Player een mitigation is geïntroduceerd, waardoor gebruikers van die versie en hoger veilig zijn.

De kwetsbaarheid stelt een aanvaller in staat om een crash teweeg te brengen en wellicht ook de controle over een kwetsbaar systeem over te nemen. Het lek bestaat op Windows, OS X, Linux, en Chrome OS, maar wordt alleen actief gebruikt in oudere versies van Windows met versie 20.0.0.306 van de Adobe-software. Er wordt aangeraden om zo snel mogelijk naar de nieuwste versie te updaten. Gebruikers kunnen hun Flash-versie controleren op een pagina van Adobe.

De Franse onderzoeker Kafeine liet aan Threatpost weten dat hij niet meer over de kwetsbaarheid wilde vertellen totdat de patch door Adobe beschikbaar is gemaakt. De Flash Player-software ontvangt regelmatig kritieke beveiligingsupdates en andere patches, zo werden er in de update die Adobe eind vorig jaar uitbracht 78 beveiligingslekken gedicht.

Door Sander van Voorst

Nieuwsredacteur

06-04-2016 • 10:29

65

Reacties (65)

65
57
30
0
0
5
Wijzig sortering
Ik dacht dat Flash uit was gefaseerd.. (zo niet wordt het wel eens tijd imo?) Ben allang gestopt met flash, als een website het nodig heeft installeer ik hem tijdelijk en daarna er zo snel mogelijk af. Dit geld overigens niet alleen voor Flash, alle extra plug-ins ben ik niet zo wild van. :/
Anoniem: 721593 @Evilcoocie6 april 2016 10:56
Spijtig genoeg niet. Heb flash standaard uitgeschakeld staan. Er zijn nog altijd enorm veel sites die Flash nodig hebben om te functioneren.
Sorry, maar dat betwijfel ik ten zeerste.

Het gros van de sites gebruikt tegenwoordig html5,
een kleine selectie doet het nog met Flash.
Een site die zwaar verouderd en niet is bijgehouden zal nog iets van flash bevatten anders krijg je gewoon de html5 te zien.

Misschien dat er nog game-sites zijn die het gebruiken, maar daar kom ik persoonlijk niet op.

Het kan in principe zonder, zonder dat je melding krijgt dat je Flash moet installeren.
Je hebt Spotify en Twitch, om er maar twee te noemen.
Anoniem: 149075 @Jaahp6 april 2016 11:21
Klopt, veel mensen denken alleen maar aan filmpjes kijken, leuk maar er is meer mogelijk met Flash dan HTML5 naar serverside.
Flash heeft inderdaad protocollen (zoals RTMP en AMF) die hun eigen versleutelde manier van communiceren hebben, iets wat HTML 5 niet in die vorm heeft.

Echter, met de ondersteuning van WebSockets en het aanbieden van meerder bronnen door <source> blokken in <video> en <audio> elementen, wordt dit verschil steeds kleiner.

Het enige grote verschil tussen HTML5 en Flash is dan ook dat het lastiger is om te zien wat zich allemaal in een Flash bestand gebeurd, terwijl dat voor Javascript (mbv een de-minifer) gemakkelijker is.
Anoniem: 149075 @SirQuack6 april 2016 18:41
Yep, dat is zeker waar.

Nu nog de Webkit in alle browsers gelijk en dan heb je wat.

Ik zie het dit jaar niet zo 1,2,3 gebeuren dat het zo compatibel is als flash wellicht aan het eind... maar ik reken er niet op.
Je hebt Spotify en Twitch, om er maar twee te noemen.
Twitch ken ik niet,
Spotify heeft een tijd zonder Flash gewerkt. Daar is besloten dat je op Windows gebruik moet blijven maken van Flash...

Ik gebruik spotify dus niet meer, meerwaarde is minimaal tegenover de irritaties van flash op je systeem.
Blijkbaar hebben ze "legal issues" met <audio>.
twitch weet ik niet, maar Spotify heeft gewoon een html5 player, net zoals bijvoorbeeld netflix.
Waar? Als ik play.spotify.com start zonder flash geeft het de melding: "To enjoy Spotify, please install Adobe Flash". Misschien gebruik je Chrome met hun meegeleverde Flash?
het lijkt erop dat je gelijk hebt :( I stand corrected!
Ik kom inderdaad nog zelden dingen tegen waarvoor ik Flash nodig heb. Om eerlijk te zijn helaas vooral corporate meuk. Hier dus ook standaard zonder en het gaat enkel aan als het ècht moet.
Je kan in Chrome zeggen dat hij Flash niet automatisch moet starten, dan krijg je een grijs blok waar je met de rechtermuisknop op moet klikken om de Flash plugin te activeren...

Dat is effectief ongeveer hetzelfde als de plugin deinstalleren, omdat de Flash code nooit uitgevoerd wordt tenzij je het zelf wil.
Dat weet ik zonet nog niet, je kan beter de plugin helemaal uitzetten lijkt mij dan deze ''on demand'' ingeschakeld te laten.
De websites kunnen immers detecteren dat de plugin geactiveerd is, en niet wanneer deze helemaal uitstaat, ook met "click to play" dus.
Dan lijkt het me voor een hacker voordeliger om te weten dat het aanwezig is, zodat er mogelijk een exploit kan gebruikt worden om alsnog kwetsbaarheden uit te voeren op flash terwijl deze ''op demand'' staat, en anders misschien wel via een omweg met een exploit in Chrome zelf?

Je kan hier op deze pagina testen wat er allemaal te achterhalen valt van de browser, dan zul je zien dat geactiveerde plugins ook gewoon zichtbaar zijn.

https://panopticlick.eff.org
Tot op zekere hoogte blijven web browsers Flash ondersteunen, zoals bv. Mozilla die wel NPAPI support staakt eind dit jaar waardoor oa. embedded Java applet niet meer zullen werken, staat men toch weer een uitzondering toe voor de Flash player. Enkel en alleen deze zal dus nog blijven werken, als enige op basis van het verouderde NPAPI interface.
Je kunt ook Chrome gebruiken, heeft de ondersteuning ingebouwd. Ik heb Flash zelf ook niet geïnstalleerd, dus die ene keer per maand dat ik het nodig heb, gebruik ik Chrome even.
Sterker nog; in veel browsers zit Flash tegenwoordig (standaard) ingebakken. De enige (van de grote browsers) die dat niet heeft, is Firefox (en de forks ervan).
Ik neem al niet meer de moeite om Flash te installeren. Ik wil het niet op mijn Mac, evenmin als Chrome. Ik heb de hoop dat hierdoor Flash een snelle dood sterft. Weg ermee, net als Silverlight en dat soort irritante plugins.
nee echt? adobe werkt aan een fix voor een lek in flash ... it's breaking news :N

nieuws: Adobe dicht kritieke kwetsbaarheid in Flash
nieuws: Adobe brengt patch voor zerodaykwetsbaarheid in Flash uit
nieuws: Adobe komt volgende week met patch voor zerodaykwetsbaarheid in Flash
nieuws: Adobe brengt patch uit voor kritieke lekken in Flash Player
nieuws: Adobe dicht drie lekken in zijn Flash-speler

again... is dit nu nieuws? bedoel dit is een ongoing process, zou pas nieuws zijn als
"Adobe programmeurs hebben al weken niets te patchen"

[Reactie gewijzigd door himlims_ op 27 juli 2024 02:23]

Ik denk dat de key hier is:
" die volgens het bedrijf actief door kwaadwillenden wordt gebruikt op computers met Windows XP en Windows 7 ".
En de andere OS-en dan? Windows Vista? Windows 2008 R1/R2? Zijn die niet vulnerable of worden die niet getarget?
Vergeet Windows 2003 niet...

Wel goed dat ze Windows XP nog ondersteunen :)
Beter nog tijdens de install een popup die vermeld dat er welicht 1 of meerdere updates per dag kunnen uitrollen
Ik denk dat de enige goede patch de uninstaller is.
Probeer dat maar op Windows 8/8.1 & 10, daar zit flash player ingebakken, je kan de plugin wel uitzetten maar verwijderen is een ander verhaal, updaten moet via Windows Update dus daar ben je ook afhankelijk van hoe snel ze zijn ermee.

Edit: en voor Chrome is het natuurlijk ook ingebakken, dus aan te raden deze plugin dan uit te zetten via Chrome://plugins (in de URL balk).

[Reactie gewijzigd door CriticalHit_NL op 27 juli 2024 02:23]

Via chrome://plugins/ heb ik Flash maar eens helemaal uitgezet. Dit zou onderhand standaard moeten zijn.
about://plugins werkt ook - en is cross-browser.

Op die manier kan je snel / selectief een plugin even aan / uit zetten.

Standaard alles uit - en alleen aanvinken als het nodig is... (browsertab reloaden en tab met plugins weer snel op "uit" zetten).
Voor Safari gebruikers: Preferences > Security > Plug-in Settings > Adobe Flash Player > When visiting other websites: Block.
Waarom zou je de Flash player niet gewoon verwijderen?
Het is bijna geen nieuws meer, de laatste 5 gerelateerde content gingen alleen maar over patchen en kritieke kwetsbaarheden en lekken. Het zo uitgefaseerd moeten worden, in HTML5 was het al niet meer nodig om met Flash moeten werken.
Och, op deze pagina vraagt mijn Firefox ook nog 'Allow http://tweakers.net to run "Adobe Flash"?' - dus zelfs Tweakers is nog niet helemaal HTML5 ;-)
Hier heb je de enige patch die je ooit nodig zal hebben voor Flash: https://helpx.adobe.com/f...flash-player-windows.html
Anoniem: 319464 @Jeoh6 april 2016 11:25
These instructions are NOT applicable to Flash Player for Internet Explorer on Windows 8 and later, or for Microsoft Edge on Windows 10.
Hoe krijg je die ingebouwde flash versie van je systeem? Zie je control panel voor het flash logo.
Anoniem: 399752 6 april 2016 10:49
Adobe O+
Anoniem: 356920 6 april 2016 10:55
Het is hoogtijd dat Flash van deze planeet verdreven word, lek als een zeef.
Waarom zitten er nog steeds dit soort bugs in Flash? Welke tijd leven we?
Anoniem: 319464 6 april 2016 11:24
iemand die nog flash installeert? denk al 5 jaar geleden mee gestopt. Het zit helaas wel in Windows ingebakken. Kijk maar in je control panel. Al gebruik ik nooit IE.

Op dit item kan niet meer gereageerd worden.