Adobe brengt donderdag patch uit voor kritiek lek in Flash

Adobe ontwikkelt een patch voor een kritieke kwetsbaarheid in Flash, die volgens het bedrijf actief door kwaadwillenden wordt gebruikt op computers met Windows XP en Windows 7. De patch komt donderdag beschikbaar.

Adobe Flash PlayerAdobe vermeldt dat het bij de kwetsbaarheid gaat om cve-2016-1019, die dankzij de hulp van verscheidene beveiligingsonderzoekers is ontdekt. Onder hen zijn medewerkers van Google en FireEye, samen met de onderzoeker Kafeine, die onder andere de blog 'Malware don't need Coffee' bijhoudt. Het kritieke lek is aanwezig in versie 21.0.0.197 en eerder van Flash Player, maar Adobe stelt dat er in versie 21.0.0.182 van Flash Player een mitigation is geïntroduceerd, waardoor gebruikers van die versie en hoger veilig zijn.

De kwetsbaarheid stelt een aanvaller in staat om een crash teweeg te brengen en wellicht ook de controle over een kwetsbaar systeem over te nemen. Het lek bestaat op Windows, OS X, Linux, en Chrome OS, maar wordt alleen actief gebruikt in oudere versies van Windows met versie 20.0.0.306 van de Adobe-software. Er wordt aangeraden om zo snel mogelijk naar de nieuwste versie te updaten. Gebruikers kunnen hun Flash-versie controleren op een pagina van Adobe.

De Franse onderzoeker Kafeine liet aan Threatpost weten dat hij niet meer over de kwetsbaarheid wilde vertellen totdat de patch door Adobe beschikbaar is gemaakt. De Flash Player-software ontvangt regelmatig kritieke beveiligingsupdates en andere patches, zo werden er in de update die Adobe eind vorig jaar uitbracht 78 beveiligingslekken gedicht.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-04-2016 10:2965

06-04-2016 • 10:29

65 Linkedin

Lees meer

Google start met uitzetten van Flash in Chrome Nieuws van 10 december 2016
Adobe wil deze week patch uitbrengen voor zero-day-kwetsbaarheid in Flash Nieuws van 15 juni 2016
Apple stopt met het automatisch afspelen van onder andere Flash Nieuws van 15 juni 2016
Flash is tegen het einde van het jaar 'click-to-play' in Google Chrome Nieuws van 16 mei 2016
Kwetsbaarheid in Flash werd gebruikt voor verspreiden ransomware Nieuws van 8 april 2016
Adobe dicht kritieke kwetsbaarheid in Flash Nieuws van 29 december 2015
Adobe brengt patch voor zerodaykwetsbaarheid in Flash uit Nieuws van 16 oktober 2015
Adobe komt volgende week met patch voor zerodaykwetsbaarheid in Flash Nieuws van 15 oktober 2015
Adobe brengt patch uit voor kritieke lekken in Flash Player Nieuws van 9 juli 2014
Adobe dicht drie lekken in zijn Flash-speler Nieuws van 27 februari 2013
Meer producten en artikelen
Netwerk en systeembeheer Adobe Flash Security

Reacties (65)

-Moderatie-faq
65
57
30
0
0
5
Wijzig sortering
Evilcoocie
6 april 2016 10:39
Ik dacht dat Flash uit was gefaseerd.. (zo niet wordt het wel eens tijd imo?) Ben allang gestopt met flash, als een website het nodig heeft installeer ik hem tijdelijk en daarna er zo snel mogelijk af. Dit geld overigens niet alleen voor Flash, alle extra plug-ins ben ik niet zo wild van. :/
Mr.Skippie
@Evilcoocie6 april 2016 10:56
Spijtig genoeg niet. Heb flash standaard uitgeschakeld staan. Er zijn nog altijd enorm veel sites die Flash nodig hebben om te functioneren.
Iblies
@Mr.Skippie6 april 2016 11:05
Sorry, maar dat betwijfel ik ten zeerste.

Het gros van de sites gebruikt tegenwoordig html5,
een kleine selectie doet het nog met Flash.
Een site die zwaar verouderd en niet is bijgehouden zal nog iets van flash bevatten anders krijg je gewoon de html5 te zien.

Misschien dat er nog game-sites zijn die het gebruiken, maar daar kom ik persoonlijk niet op.

Het kan in principe zonder, zonder dat je melding krijgt dat je Flash moet installeren.
Jaahp
@Iblies6 april 2016 11:08
Je hebt Spotify en Twitch, om er maar twee te noemen.
RutgerM
@Jaahp6 april 2016 11:21
Klopt, veel mensen denken alleen maar aan filmpjes kijken, leuk maar er is meer mogelijk met Flash dan HTML5 naar serverside.
SirQuack
@RutgerM6 april 2016 15:36
Flash heeft inderdaad protocollen (zoals RTMP en AMF) die hun eigen versleutelde manier van communiceren hebben, iets wat HTML 5 niet in die vorm heeft.

Echter, met de ondersteuning van WebSockets en het aanbieden van meerder bronnen door <source> blokken in <video> en <audio> elementen, wordt dit verschil steeds kleiner.

Het enige grote verschil tussen HTML5 en Flash is dan ook dat het lastiger is om te zien wat zich allemaal in een Flash bestand gebeurd, terwijl dat voor Javascript (mbv een de-minifer) gemakkelijker is.
RutgerM
@SirQuack6 april 2016 18:41
Yep, dat is zeker waar.

Nu nog de Webkit in alle browsers gelijk en dan heb je wat.

Ik zie het dit jaar niet zo 1,2,3 gebeuren dat het zo compatibel is als flash wellicht aan het eind... maar ik reken er niet op.
Iblies
@Jaahp6 april 2016 11:46
Je hebt Spotify en Twitch, om er maar twee te noemen.
Twitch ken ik niet,
Spotify heeft een tijd zonder Flash gewerkt. Daar is besloten dat je op Windows gebruik moet blijven maken van Flash...

Ik gebruik spotify dus niet meer, meerwaarde is minimaal tegenover de irritaties van flash op je systeem.
Jaahp
@Iblies6 april 2016 11:59
Blijkbaar hebben ze "legal issues" met <audio>.
borft
@Jaahp6 april 2016 11:48
twitch weet ik niet, maar Spotify heeft gewoon een html5 player, net zoals bijvoorbeeld netflix.
Jaahp
@borft6 april 2016 11:56
Waar? Als ik play.spotify.com start zonder flash geeft het de melding: "To enjoy Spotify, please install Adobe Flash". Misschien gebruik je Chrome met hun meegeleverde Flash?
borft
@Jaahp6 april 2016 12:02
het lijkt erop dat je gelijk hebt :( I stand corrected!
Bacchus
@Iblies6 april 2016 12:21
Ik kom inderdaad nog zelden dingen tegen waarvoor ik Flash nodig heb. Om eerlijk te zijn helaas vooral corporate meuk. Hier dus ook standaard zonder en het gaat enkel aan als het ècht moet.
FireDrunk
@Evilcoocie6 april 2016 10:53
Je kan in Chrome zeggen dat hij Flash niet automatisch moet starten, dan krijg je een grijs blok waar je met de rechtermuisknop op moet klikken om de Flash plugin te activeren...

Dat is effectief ongeveer hetzelfde als de plugin deinstalleren, omdat de Flash code nooit uitgevoerd wordt tenzij je het zelf wil.
CriticalHit_NL
@FireDrunk6 april 2016 18:18
Dat weet ik zonet nog niet, je kan beter de plugin helemaal uitzetten lijkt mij dan deze ''on demand'' ingeschakeld te laten.
De websites kunnen immers detecteren dat de plugin geactiveerd is, en niet wanneer deze helemaal uitstaat, ook met "click to play" dus.
Dan lijkt het me voor een hacker voordeliger om te weten dat het aanwezig is, zodat er mogelijk een exploit kan gebruikt worden om alsnog kwetsbaarheden uit te voeren op flash terwijl deze ''op demand'' staat, en anders misschien wel via een omweg met een exploit in Chrome zelf?

Je kan hier op deze pagina testen wat er allemaal te achterhalen valt van de browser, dan zul je zien dat geactiveerde plugins ook gewoon zichtbaar zijn.

https://panopticlick.eff.org
Ravefiend
@Evilcoocie6 april 2016 10:48
Tot op zekere hoogte blijven web browsers Flash ondersteunen, zoals bv. Mozilla die wel NPAPI support staakt eind dit jaar waardoor oa. embedded Java applet niet meer zullen werken, staat men toch weer een uitzondering toe voor de Flash player. Enkel en alleen deze zal dus nog blijven werken, als enige op basis van het verouderde NPAPI interface.
TKroon
@Evilcoocie6 april 2016 10:50
Je kunt ook Chrome gebruiken, heeft de ondersteuning ingebouwd. Ik heb Flash zelf ook niet geïnstalleerd, dus die ene keer per maand dat ik het nodig heb, gebruik ik Chrome even.
CH4OS
@Evilcoocie6 april 2016 11:35
Sterker nog; in veel browsers zit Flash tegenwoordig (standaard) ingebakken. De enige (van de grote browsers) die dat niet heeft, is Firefox (en de forks ervan).
iAR
@Evilcoocie6 april 2016 13:45
Ik neem al niet meer de moeite om Flash te installeren. Ik wil het niet op mijn Mac, evenmin als Chrome. Ik heb de hoop dat hierdoor Flash een snelle dood sterft. Weg ermee, net als Silverlight en dat soort irritante plugins.
himlims_
6 april 2016 10:31
nee echt? adobe werkt aan een fix voor een lek in flash ... it's breaking news :N

nieuws: Adobe dicht kritieke kwetsbaarheid in Flash
nieuws: Adobe brengt patch voor zerodaykwetsbaarheid in Flash uit
nieuws: Adobe komt volgende week met patch voor zerodaykwetsbaarheid in Flash
nieuws: Adobe brengt patch uit voor kritieke lekken in Flash Player
nieuws: Adobe dicht drie lekken in zijn Flash-speler

again... is dit nu nieuws? bedoel dit is een ongoing process, zou pas nieuws zijn als
"Adobe programmeurs hebben al weken niets te patchen"

[Reactie gewijzigd door himlims_ op 6 april 2016 11:30]

AMS76
@himlims_6 april 2016 10:33
Ik denk dat de key hier is:
" die volgens het bedrijf actief door kwaadwillenden wordt gebruikt op computers met Windows XP en Windows 7 ".
redfoxert
@AMS766 april 2016 10:42
En de andere OS-en dan? Windows Vista? Windows 2008 R1/R2? Zijn die niet vulnerable of worden die niet getarget?
SunnieNL
@redfoxert6 april 2016 14:38
Vergeet Windows 2003 niet...

Wel goed dat ze Windows XP nog ondersteunen :)
postbus51
@himlims_6 april 2016 17:17
Beter nog tijdens de install een popup die vermeld dat er welicht 1 of meerdere updates per dag kunnen uitrollen
Señor Sjon
@himlims_6 april 2016 12:05
Ik denk dat de enige goede patch de uninstaller is.
CriticalHit_NL
@Señor Sjon6 april 2016 18:03
Probeer dat maar op Windows 8/8.1 & 10, daar zit flash player ingebakken, je kan de plugin wel uitzetten maar verwijderen is een ander verhaal, updaten moet via Windows Update dus daar ben je ook afhankelijk van hoe snel ze zijn ermee.

Edit: en voor Chrome is het natuurlijk ook ingebakken, dus aan te raden deze plugin dan uit te zetten via Chrome://plugins (in de URL balk).

[Reactie gewijzigd door CriticalHit_NL op 6 april 2016 18:05]

BramV
6 april 2016 10:43
Via chrome://plugins/ heb ik Flash maar eens helemaal uitgezet. Dit zou onderhand standaard moeten zijn.
b2vjfvj75gjx7
@BramV6 april 2016 10:49
about://plugins werkt ook - en is cross-browser.

Op die manier kan je snel / selectief een plugin even aan / uit zetten.

Standaard alles uit - en alleen aanvinken als het nodig is... (browsertab reloaden en tab met plugins weer snel op "uit" zetten).
lvdgraaff
@BramV6 april 2016 11:17
Voor Safari gebruikers: Preferences > Security > Plug-in Settings > Adobe Flash Player > When visiting other websites: Block.
iAR
@lvdgraaff6 april 2016 13:51
Waarom zou je de Flash player niet gewoon verwijderen?
Johannes77
6 april 2016 10:41
Het is bijna geen nieuws meer, de laatste 5 gerelateerde content gingen alleen maar over patchen en kritieke kwetsbaarheden en lekken. Het zo uitgefaseerd moeten worden, in HTML5 was het al niet meer nodig om met Flash moeten werken.
dabutcha76
6 april 2016 11:19
Och, op deze pagina vraagt mijn Firefox ook nog 'Allow http://tweakers.net to run "Adobe Flash"?' - dus zelfs Tweakers is nog niet helemaal HTML5 ;-)
Jeoh
6 april 2016 11:22
Hier heb je de enige patch die je ooit nodig zal hebben voor Flash: https://helpx.adobe.com/f...flash-player-windows.html
danielik
@Jeoh6 april 2016 11:25
These instructions are NOT applicable to Flash Player for Internet Explorer on Windows 8 and later, or for Microsoft Edge on Windows 10.
Hoe krijg je die ingebouwde flash versie van je systeem? Zie je control panel voor het flash logo.
runia
6 april 2016 10:49
Adobe O+
Anoniem: 356920
6 april 2016 10:55
Het is hoogtijd dat Flash van deze planeet verdreven word, lek als een zeef.
Gamebuster
6 april 2016 11:07
Waarom zitten er nog steeds dit soort bugs in Flash? Welke tijd leven we?
danielik
6 april 2016 11:24
iemand die nog flash installeert? denk al 5 jaar geleden mee gestopt. Het zit helaas wel in Windows ingebakken. Kijk maar in je control panel. Al gebruik ik nooit IE.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee