Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

De onlangs ontdekte zeroday in Flash, waarvoor Adobe donderdag een patch uitbracht, wordt gebruikt in Magnitude EK. Deze exploit kit wordt onder andere gebruikt om de Locky- en Cerber-ransomware te verspreiden.

Adobe maakte woensdag bekend dat er een kritieke kwetsbaarheid in Flash zit en bracht donderdag een patch uit. Ook zei de softwaremaker dat de zeroday, aangemerkt als CVE-2016-1019, actief werd misbruikt. Beveiligingsonderzoekers van Proofpoint hebben nu bekendgemaakt dat het lek werd toegepast om computers te infecteren met ransomware.

Het zou onder andere gaan om Locky, een nieuwe ransomwarevariant die in de afgelopen maanden veel slachtoffers heeft gemaakt. Ook de Cerber-ransomware die tegen zijn slachtoffers 'praat', wordt met behulp van Magnitude EK verspreid. De exploitcode die de zeroday in de Flash Player gebruikt, zou ook te vinden zijn in een andere exploitkit met de naam Nuclear Pack. Via deze tool voor kwaadwillenden zou de zeroday echter nog niet gebruikt zijn om malware te verspreiden.

Aanvankelijk stelde Adobe dat alleen gebruikers van Windows XP en Windows 7 kwetsbaar waren, maar later paste het bedrijf de waarschuwing aan. Ook gebruikers van Windows 10 waren kwetsbaar, maar alleen als zij een oudere versie van de Flash Player gebruikten. Adobe heeft donderdag een patch uitgebracht die de kritieke kwetsbaarheid oplost. Systemen die niet voorzien worden van de update, blijven kwetsbaar.

Moderatie-faq Wijzig weergave

Reacties (48)

Niet alleen volgens Fortune hoor ;)
nieuws: Adobe ziet html5 als de toekomst en lijkt Flash de rug toe te keren

Flash heeft absoluut zijn langste tijd gehad, maar heeft nog een enorme installbase en blijft daarmee enorm aantrekkelijk voor kwaadwillenden.
Vanuit historisch perspectief enorm zonde. Flash was (in de Macromedia tijd) een prachtige tool om vector tekeningen en/of animaties in te maken. Zelfs in 3D. Ik heb prachtige websites gezien, gebouwd om interactieve 3D cartoons die rond de 50kb waren.

Hele websites waren in Flash gemaakt. Filmpjes afspelen e.d. kon er toen helemaal niet mee en voor reclame werd het al helemaal niet gebruikt.


Nadat het werd overgekocht is het gewoon kapot gemaakt. Een beetje hetzelfde idee als Skype IMO (naar mijn mening de slechtste populaire software ooit).
Die "prachtige websites" waren onbruikbaar voor mensen die geen Flash op hun platforms/devices hadden, waren vaak allerberoerdst of helemaal niet te bedienen met het toetsenbord, gebruikten vaak onduidelijke pictogrammen of mysterieus verschijnende en verdwijnende afbeeldingen voor navigatie, boden content aan die niet te downloaden of voor te lezen was en die de door de gebruiker ingestelde fontgroottes en kleuren niet respecteerden...

Voor specifieke, artistieke toepassingen was Flash een aardigheidje. Voor huis-, tuin- en keukenwebsites die werk gedaan moesten krijgen was het puur vergif. Nu nog kom ik wel eens sites van restaurants tegen die nog in de jaren 90 zijn bljiven steken en denken dat interactieve menu's en unskippable filmpjes (alles op postzegelformaat natuurlijk) dé manier zijn om bezoekers aan je te binden.

Ik zal geen traan laten om Flash, net zomin als om Java op het web. Het komt uit de begindagen van het internet, toen we nog jong en onschuldig waren en alle nieuwe speeltjes met oooh en aaah onthaald werden. Inmiddels is de focus iets verlegd en hebben we betrouwbaarheid en bruikbaarheid nodig.
Tevens helpt het dat Javascript de laatste tijd enorme sprongen vooruit heeft gemaakt samen met CSS en HTML. Hierdoor zijn heel veel constructies in flash niet meer nodig (denk aan Video, Audio, Animaties, e.d.).

Het grote nadeel is alleen dat er nu extra werk nodig is om alle verschillende browsers te ondersteunen. Nu heb je de nodige verschillen tussen browsers terwijl toen bijna iedereen flash had.

Inmiddels staat bij mij flash standaard uit en mis ik er niks aan.
Helemaal mee eens, de software is slecht onderhouden en het is nooit mee gegroeid met het internet.

Het feit dat flash tot op de dag van vandaag nog gebruikt word geeft wel aan hoe goed er over het product nagedacht was en hoe ze konden inspelen om het web te maken wat het nu is.

HTML5 zal het in de toekomst vast helemaal vervangen, maar het is jammer dat dankzij Oracle flash tegenwoordig alleen nog maar bekend is doordat het zo lek als een mandje is.
Inderdaad hoog tijd dat ze het van naam veranderen. :+

Maar is het niet de hele constructie OS/Browser/Flash die om problemen vraagt?
Ik vind al die krititiek op Flash altijd maar kort door de bocht.
Browsers verwerken alleen data (opmaak, tekst, plaatjes). Verder voert hij ook javascript uit, wat zijn meest kwetsbare punt is. Er wordt veel aandacht door heel veel partijen geschonken aan het "dicht" houden hiervan. Javascript is ook "plain text" code, dus kan een wat gevorderde eindgebruiker verdachte delen snel zien en actie ondernemen (de webmaster waarschuwen bijvoorbeeld).

Flash voert code uit, en heeft toegang tot het hele systeem (net als elke executable). Dat maakt 't tot een supergeschikt target voor malware. De uitgevoerde code is voor de eindgebruiker totaal niet te zien, dus is het niet mogelijk om van een stuk flash code te zeggen of 't mogeljik kwaadaardig is. Verder is het een closed source binary, waar maar een beperkt aantal varianten van in omloop zijn. Dat maakt elke buffer overflow tot een op vele platformen makkelijk uit te buiten lek.
Dat is allemaal leuk en wel, maar zo lang de Flash Player in browser functioneel blijft, de 'player' ergens te downloaden blijft en de 'editor' nog steeds bruikbaar is zie ik het nog steeds niet echt snel uit het landschap verdwijnen. De grote bedrijven en professionals zullen afgehaakt zijn of gaan afhaken maar de zolderkamer developer zal nog lange tijd terugvallen voor suffe page intro's of andere dingen die ze zelf gewoon niet kunnen en daar zit dan ook denk ik het gevaar omdat diezelfde persoon niet stil zal staan bij eventuele lekken/onveiligheden op zijn/haar website
Je vergeet ServerSide applicaties, flash animaties gaat het allang niet meer om.

je weet dus echt niet wat voor data jij verzendt ;)
Er wordt al jaren gezeverd over het "uitfaseren van Flash".

Adobe hoeft daar helemaal niks voor te doen. Ze hoeven alleen maar op te houden met het aanbieden van de flash player en alle aanverwante spullen. Dan verdwijnt 't vanzelf.

[Reactie gewijzigd door cdwave op 8 april 2016 15:19]

Flash reclame banners iemand ?

Toch weer blij om te weten dat ik ze block.
Ik kan prima zonder en de sites die het forceren jammer voor hun.
Nog een reden waarom Flash verbannen moet worden. Is best ernstig. Maar de makers van de ransomware, zullen wel een nieuwe manier vinden.
Dit is al jarenlang bekend. Hackers maken het meest gebruik van de exploits in Flash en ik ben daarom ook blij dat het binnen één à twee jaar zal uitsterven.
Ik heb deze kwetsbaarheid aangegrepen om mijn Flash policy te wijzigen van "Altijd activeren" naar "Eerst vragen". Ik ga er vanuit dat dit mij veilig houd voor dit soort bugs (zolang ik hem niet handmatig activeer natuurlijk). En weet je, het bevalt me tot nu toe prima. Steeds meer sites maken gebruik van HTML5 dus ik hoop dat Flash spoedig helemaal niet meer nodig is.
Van mij mag flash inderdaad ook zo snel mogelijk weg.
Echter ik heb een paar kinderen op de lagere school welke thuis gebruik kunnen maken van "schoolsoftware".
Een van deze Ambrasoft (mijnklas.nl) maakt echter verplicht gebruik van flash waardoor ik helaas internet explorer (met ingebouwde nog niet geupdate! flash) nog steeds op mijn systeem heb draaien.
Een andere site welke ze bezoeken spele.nl maakt helaas ook nog gebruik van flash.

Zijn er manieren om voor een enkele site het gebruikt van flash zo veilig mogelijk te houden.
(te meer ik nu zie dat Internet Explorer en Edge (embedded - Windows 8.1) vandaag als enige van alle flash producten nog niet zijn geupdate)
LOL back the 90s
waarin virussus/malware je ook toespreekt (dmv een message in DOS)
Flash en java zij beide gewoon een verhoogt risico op virussen. Dus als je het gebruikt ben je wat kwetsbaarder
Flash en java zij beide gewoon een verhoogt risico op virussen. Dus als je het gebruikt ben je wat kwetsbaarder
Is dit echt niet gewoon een kwestie van oorzaak en gevolg? Als in, malware schrijvers zullen gebruiken wat beschikbaar is en wat populair is. En om nou te gaan suggereren dat er geen lek zit in HTML5 of in de implementatie van HTML5... dat zou een gevaarlijk idee zijn. Ga er voorlopig maar vanuit dat de strijd tussen malware-bouwer en slachtoffer + AV voorlopig nog wel even aan zal houden.
In HTML5 als standaard zal inderdaad niet zo makkelijk een lek zitten. Het is immers maar een standaard, een beschrijving hoe iets geïmplementeerd kan worden.

Waar wel een lek in zou kunnen zitten is de HTML5 implementatie van een bepaalde partij. Gelukkig zijn er meerdere HTML5 implementaties van verschillende partijen en als er dus bijvoorbeeld een lek in de HTML5 implementatie van de Edge browser blijkt te zitten hebben de gebruikers van Firefox of Chrome er geen last van. Edge gebruikers zouden zelfs tijdelijk over kunnen stappen op een andere browser tot het lek gedicht is.

Met plugins als Flash kan dat niet. Er is een binary plugin die iedereen draait, zit er een lek in die plugin (en die worden de laatste tijd vrijwel wekelijks gevonden) dan is iedereen kwetsbaar. Dát maakt de attack surface zoveel groter.

[Reactie gewijzigd door Maurits van Baerle op 8 april 2016 13:02]

Waar wel een lek in zou kunnen zitten is de HTML5 implementatie van een bepaalde partij.
Vandaar ook dat ik dat expliciet schreef. Mijn punt was echter eerder volslagen algemeen -- Overal waar communicatie tussen 2 machines bestaat bestaat de mogelijkheid die communicatie te misbruiken. Immers, misbruik is niets meer of minder dan gewoon ... software. Malware is software, net als volslagen onschuldige software dat ook is. Het enige echt volledig veilige systeem is een systeem dat niet gekoppeld is aan welk ander systeem dan ook en zelfs dan heb je nog te maken met de menselijke factor; de grootste "malware" van allemaal. ;)
Een kwetsbaarheid wil zeggen dat iets gebruikt kan worden waar het niet voor bedoeld is. Er zijn in diverse standaarden al lekken gevonden en/of manieren om iets te omzeilen (WEP, SSL(voor TLS), als voorbeeld). Het is daarom ook niet uit te sluiten dat ooit zo'n kwetsbaarheid in de HTML5 standaard zal worden gevonden.
Of je gebruikt een OS waarbinnen de browser niet om onduidelijke redenen standaard meer rechten krijgt dan andere programma's. Een browser-plugin die code mag executen komt gewoon neer op een extra achterdeur erbij die dichtgetimmerd dient te worden. Als dat echt nodig is wijst dat erop dat het OS zelf een beperking heeft en een browser-plugin blijkbaar meer kan.
Over Linux kan ik niet spreken en over andere Browsers dan IE en Edge ook niet omdat mijn kennis daarover beperkter is. Maar voor IE en Edge geldt dat ieder tabblad binnen een afgeschermde container draait. HTML5 kunnen hier in princiepe niet uitbreken. Met Javan en Flash en Acrobat reader echter is dit een ander verhaal, deze zitten op de grens tussen userspace en browser en Java en Acrobat reader breken helemaal uit de bescherming van de browser. Daarom is HTML5 gewoon veel veiliger omdat je binnen de "browser" blijft.
Je bedoelt: Als je verplicht bent om het te gebruiken. IBP connected bv verplicht je java te gebruiken, blijkbaar is dat volgens hun nog steeds de enige methode om dit te laten werken (onzin, maargoed), net als diverse sites die maar niet willen stoppen met flash (unibet bv).
Als Java ontwikkelaar wil ik er ff bij zeggen dat alleen Java applets onveilig zijn (het is bijna letterlijk een random .exe openen) en dat er met Java de taal niks aan de hand is.

En natuurlijk, Javascript heeft niks te maken met Java.

[Reactie gewijzigd door Cilph op 8 april 2016 15:53]

Je weet dat Java en JavaScript heel wat anders zijn? https://www.java.com/nl/download/faq/java_javascript.xml
Javascript is wat anders dan java die Monkyspree bedoeld.
Monkyspree had het over java, dat is totaal wat anders dan javascript.

Javascript is relatief veilig omdat het niet zoveel rechten op het systeem heeft.
En het draait binnen een sandbox van je browser.
Het is inderdaad best zorgelijk dat je dat gevoel krijgt, want JavaScript heeft helemaal niets met Java te maken.
Loop je nu gewoon te trollen, of heb je echt geen idee waar je het over hebt? In het laatste geval kan ik je aanraden om eerst meer over een onderwerp te lezen voordat je reacties op het web gaat plaatsen.

Flash en Java zijn zaken die middels extensions in browsers worden uitgevoerd. Deze extensions, of de runtime die ze hosten, hebben vaak lekken, waardoor een kwaadwillende programmeur een applet/applicatie kan maken die gebruikmaakt van zo'n lek.

JavaScript is inderdaad nogal hot op het moment, zowel clientside als serverside, maar is iets totaal anders, en in die zin niet gerelateerd in welke vorm dan ook aan dit nieuwsbericht.

[Reactie gewijzigd door CodeCaster op 8 april 2016 14:05]

Je draait Flash serverside?

Verder zijn er meer dan genoeg lekken in de Java-runtime die middels applets geëxploiteerd kunnen worden. Je hoort daar enkel steeds minder van, omdat Java-applets al enkele jaren niet meer populair zijn.

[Reactie gewijzigd door CodeCaster op 8 april 2016 14:11]

de meeste lekken zitten toch echt nog in JS en CSS in een browser
En "CSS" is dan vast weer een typo waarbij je eigenlijk "XSS" bedoelt?

Er zijn geen recente bekende CSS-exploits, en aangezien alle gangbare browsers JavaScript uitvoeren in een volledig dichtgetimmerde sandbox waarvoor eveneens geen recente exploits bekend zijn, ben ik bang dat ik je moet verwijzen naar mijn eerdere comment.

[Reactie gewijzigd door CodeCaster op 8 april 2016 15:07]

Nee hoor, CSS zijn zeker wel exploits voor.

En die dichtgetimmerde sandbox, laten daar nu lekken in zitten.
Er is maar oplossing mogelijk, en deze is al jaren bekend : geen Flash, zeker niet met de opkomst van ransomware.
Nou javascript is DE issue met ransomware, daar zit nu juist het probleem, door HTML5 staat het altijd aan.
Sandboxed JavaScript engines en DOM APIs die specifiek van begin af aan ontworpen zijn om zonder expliciete toestemming geen toegang te geven tot zaken zoals het lokale filesystem, zijn per definitie een stuk veiliger dan Flash, waar beveiliging achteraf houtje-touwtje ingevoegd is.
Oke, ik ben toch zeer benieuwd of je hier ook bronnen voor hebt.. Aangezien javascript voor zover ik weet redelijk kort gehouden wordt met wat het wel en niet mag.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True