Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Zowel Microsoft als Adobe waarschuwt voor zero-day-kwetsbaarheden in respectievelijk Internet Explorer op Windows en Flash. Het kritieke lek in Flash is voor alle desktopbesturingssystemen die de speler gebruiken potentieel gevaarlijk.

De Windows-bug wordt actief misbruikt, schrijft Ars Technica, maar is gepatcht in de laatste 'patch-dinsdag'-ronde van 10 mei. Het beveiligingsprobleem geeft aanvallers de mogelijkheid om kwaadaardige code uit te voeren als een kwetsbare computer een daarvoor bewerkte website bezoekt via Internet Explorer. Het beveiligingslek, dat bekendstaat als CVE-2016-0189, wordt op dit moment al misbruikt bij Zuid-Koreaanse websites.

Een bericht op Symantec legt uit waarom Zuid-Korea hier extra gevoelig voor is, namelijk doordat de regering in dat land in 1999 een wet introduceerde die van online verkopers eiste dat deze gebruikmaken van een lokale SEED-blokvercijfering die op ActiveX leunt. Omdat ActiveX alleen via Internet Explorer werkt, wordt de browser nog steeds veel gebruikt in het land, al wil de regering de regel schrappen. De exploit zelf heeft ActiveX niet nodig en maakt gebruik van kwetsbaarheden in de JScript- en VBScript-engines.

De nieuw ontdekte kwetsbaarheid in Flash geeft aanvallers ook de mogelijkheid een machine op afstand over te nemen en werd ontdekt door onderzoekers van FireEye. De kwetsbaarheid wordt al misbruikt. Adobe zegt op donderdag 12 mei een patch af te hebben voor CVE-2016-4117.

Flash wordt al jaren geplaagd door kwetsbaarheden, maar veel diensten en sites gebruiken het nog steeds, al is het aantal flink afgenomen. Deïnstalleren is de veiligste optie, maar een alternatief is 'click-to-play' te activeren in de browser- of plug-in-instellingen. Flash-elementen worden dan niet meer standaard geladen. Tweakers schreef onlangs een achtergrondartikel bij deze 'gevaarlijkste plugin van internet'.

Moderatie-faq Wijzig weergave

Reacties (42)

Het wordt toch maar tijd dat ik flash deinstaalleer.
We hebben een leuke tijd gehad samen. Veel gelachen op o.a. newgrounds en dumpert. Verre reizen gemaakt van Youtube 1.0 pixel wars naar 4k 60fps livestreams, maar we zijn gewoon uitelkaar gegroeid. Daarnaast hoop ik geen rare ziektes van je te krijgen en behoed ik me voor het mogelijke gevaar.
Vaarwel flash, het gaat je goed. Natuurlijk blijven we nog gewoon vrienden. :X
sowieso; flash, silverlight, java :w
Flash en Silverlight zullen inderdaad verdwijnen maar Java zal blijven. Zoals pattux al aan gaf; die applets zullen verdwijnen. Dit zal net zoals die ActiveX elementen gaan, kan iemand die zich nog herinneren?
Mwa, die zijn nog lang niet verdwenen. Veel IP camera's maken er helaas nog gebruik van.
veel ip camera's kunnen daarvan gebruik maken; 9/10 hebben ook gewoon een video stream die je met vlc (e.d.) kunt bekijken
java installeren voor bekijken van camera beelden ... nergens voor nodig
Ik had het in dit geval over activex en niet over Java. Vaak gebruiken de goedkopere (Chinese) camera's dit nog. Gelukkig is er vaak nog wel een mjpeg stream die wel werkt, maar wil er nog wel eens functionaliteit missen.
Ik had het in dit geval over activex en niet over Java. Vaak gebruiken de goedkopere (Chinese) camera's dit nog.
Een reden te meer om dit soort dump producten te mijden?
Als je de juiste uitkiest heb je gewoon een goede camera met goede sensor. Met IR-cut voor goed nachtbeeld.
Echt geen dump zooi 300k pixel sensor meer hoor.

[Reactie gewijzigd door NBK op 11 mei 2016 20:07]

Meestal heb je de ActiveX de eerste keer sowieso nodig om de camera te configureren :(
Java applets zul je bedoelen.
Jup. Flash, silverlight, java, activex, good ol' IE only HTML.

Wie niet wil migreren, emuleren we wel gewoon in Javascript. En als dat niet wil, emuleren we de rest van het OS gewoon mee.. :-)
Hehe, ik weet nog dat klanten van mij hun website volledig in flash wilde laten bouwen op advies van een marketingbureau. Die waren daar natuurlijk in 'gespecialiseerd'. Als je die website open had liep de processor natuurlijk tegen de 100% en de website kon niet geïndexeerd worden. Wat een ramp was dat.
Hier is flash tegenwoordig verboden.
Ik heb geen afscheid genomen van Flash, we spreken elkaar alleen niet meer zo veel.
In het verleden stond de deur altijd open voor Flash. Wanneer we op date gingen vroeg ik alleen advies van mijn goede vriend Adblocker, maar verder volgde ik altijd waar Flash naar toe ging. Nu we alleen nog maar vrienden zijn moeten we toch echt even een afspraak maken. Als Flash een dagje met me uit wilt bij Newgrounds, dan wil ik best weer samen gaan. Maar de meeste uitgaans gelegenheden waar Flash heen wilt is tegen het advies in van Adblocker en ik heb er vaak ook geen zin meer in. Voel me wel wat schuldig, maar gelukkig is het wederzijds, Flash heeft ook steeds minder interesse om uit te gaan. Flash heeft te veel slechte ervaringen op gedaan met anderen op sommige plekken dat de fun er af is.

[Reactie gewijzigd door Musical-Memoirs op 11 mei 2016 08:50]

Wat je gewoon kan doen is de Flash player uitschakelen in je primaire browser, en een aparte browser installeren waarin de Flash player wel is ingeschakeld (maar dan alleen met click-to-play natuurlijk). Het is sowieso altijd handig om een extra browser te hebben, maar ik bezoek wel eens een pagina die niet zonder Flash kan, en als het dan echt nodig is, start ik gewoon die tweede browser op om even die pagina te bekijken. Als ik klaar ben, sluit ik die browser gewoon weer.

Dan ben je in het dagelijkse browsen wel gewoon veilig (want Flash is alleen een risico als de plug-in is ingeschakeld natuurlijk), maar als je het echt nodig hebt voor een bepaalde site, heb je het wel binnen handbereik.
Kijk alles al jaren zonder flash, incl 4k@60 al heeft mn systeem daar moeite mee. Mis er niks aan.
Filmpjes op tweakers zijn pas sinds kort te zien op HTML5, twitch.tv gebruikt nog steeds voor een deel flash, zelfs in de HTML5 speler... Er zijn nog genoeg sites die flash gebruiken helaas, zeker voor het kijken van filmpjes. Maar bij mij staat flash gewoon overal uit, en zet ik het alleen aan als het echt nodig is.
Sinds "kort" hoe keek ik die dan?
Ze hadden al een html5 player, maar flash first, nu alleen html5.
Leuk ingespeeld, mijn +1 heb je :D
https://support.microsoft.com/nl-nl/kb/3155533

Hier is de Cumulative Security update voor IE
Hoe zit dat dan met flash in chrome? Ik heb geen flash of java of silverlight op mijn w10 maar moet in chrome nog altijd flashblock gebruiken.
Je kunt via chrome:plugins de Flash player uitschakelen, of via chrome://settings/content, onder Plug-ins, "Laat me kiezen wanneer de inhoud van de plug-in moet worden uitgevoerd."
Sterker nog je hebt wel degelijk Flash op W10 staan.
Kijk maar eens in C:\Windows\SysWOW64\Macromed en C:\Windows\System32\Macromed
Dat is de build in Flash voor Edge. Iedereen met W10 RTM heeft Flash.
Ik heb vanaf W7 geen flash meer op mijn PC gehad en wil die gewoon ook niet meer hebben.
Sterker nog ik wil helemaal geen Adobe rommel er meer op hebben.
Wat is daar nu zo moeilijk aan?
Nu krijg ik het door mijn strot geduwd door MS.
Ik ga maar weer NTLite gebruiken geloof ik, dat is lang geleden zeg!

[Reactie gewijzigd door dfury op 11 mei 2016 16:48]

Waarom doet Adobe niets om de basis van Flash dusdanig te verbeteren dat het minder gevoelig wordt door zulke lekken?

Oracle heeft met Java dit probleem grotendeels opgelost. Zij hebben een hoop vorderingen gemaakt.

Sowieso is Flash verleden tijd.
Waarom doet Adobe niets om de basis van Flash dusdanig te verbeteren dat het minder gevoelig wordt door zulke lekken?

Sowieso is Flash verleden tijd.
Je geeft het antwoord dus zelf al: het is niet meer de moeite om er zoveel geld in te steken.

Oracle heeft het probleem met Java niet opgelost, ze gaan de web plugin gewoon uitfaseren. Hoewel dat een soort van "oplossing" is natuurlijk, namelijk dezelfde "oplossing" als die van Flash (als is het uitfaseren van Java bewust gedaan).

Of het bij Flash iets soortgelijk is weet ik niet, maar Java zelf zit gewoon goed in elkaar. Je kan met Java wel bestanden schrijven en uitvoeren, maar dat is normaal voor een programmeertaal. Het probleem is er vooral als bij de koppeling met de browser een fout zit waardoor de java code als administrator uitgevoerd kan worden. Als iemand met slechte bedoelingen vervolgens gebruik maakt van het schrijven van bestanden en ze daarna gaat uitvoeren dan wordt het foute boel.
Desalniettemin heb ik zowel Java als Flash in de ban gedaan. Ik geloof best dat Oracle grote vorderingen heeft gemaakt met betrekking tot hun security maar door alle kwetsbaarheden en lekken heeft het wel een slecht imago gekregen dat niet zomaar te herstellen is.
Volgens mij is het alsnog gewoon mogelijk Java te exploiteren, maar dan moet er software op lokaal niveau worden uitgevoerd welke bijvoorbeeld langs een Anti-Virus is geglipt, beste veilige oplossing is dan verwijderen mits je het niet nodig hebt, het zijn extra attack vectors, geldt ook voor overige software.
Je zegt het zelf denk ik al. Flash is niet interessant genoeg meer om helemaal te herschrijven.
Daarnaast is het vrijwel onmogelijk om Flash te herschrijven zonder dat een groot aantal toepassingen breekt
Dan hadden ze dat beter 6 jaar geleden kunnen doen toen Flash nog volop gebruikt werd. Dat niemand Flash meer wil gebruiken hebben ze echt aan hunzelf te danken.
Dis is omdat flash aan het uitsterven is. Geld in pompen is dus vaak een nee. :/
Heb ook sinds vandaag maar is die Flashplayer er af gehaald, kijken hoe alles draait zonder.
Ik heb flash al tijden geleden van de computer af gegooid. De schrijver zegt "niet volledig onmisbaar". Ach, er gebeurt niets ernstigs met mij omdat ik bepaalde sites niet kan zien. Dus best misbaar. En een motivatie voor sites om flash af te schaffen is natuurlijk om deze sites niet te gebruiken zolang ze nog flash vereisen.
Weet iemand hoe ik Flash eenvoudig helemaal uit Win10 kan slopen? Ik heb een uitleg gevonden die nogal ingewikkeld is: https://eksith.wordpress....ve-flash-from-windows-10/
LOL en dan krijgen we van MS een built in versie van Flash in Edge die zich ook nog eens in je
C:\Windows\SysWOW64 nestelt en bijna niet is te verwijderen is.
Ik zou ze bijna aanklagen voor malware ...
De reden dat ik zowel Edge als Flash met omwegen eruit heb gehakt.
En dat werkt prima moet ik je zeggen.
Dan is windows update maar verrot, ik gebruik WSUS wel.
Met omwegen? Je kunt in Edge onder de geavanceerde instellingen Flash gewoon uitschakelen.
En ondertussen wel een andere broowser gebruiken met ingebouwde flash zeker ..
Nee hoor Firefox heeft gelukkig geen PepperFlashPlayer :)
En als de website niet werkt, tja dan heb je pech en ik ook..

[Reactie gewijzigd door dfury op 11 mei 2016 11:35]

Gebruik t al sinds 2009 niet meer, zie er de meerwaarde nirt van
In het artikel staat: "Flash is [...] nog steeds niet volledig onmisbaar".

Echt? Zal het dan binnenkort wel onmisbaar zijn?

Ik neem aan dat "niet volledig misbaar" bedoeld wordt.

[Reactie gewijzigd door ygramoel op 11 mei 2016 11:43]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True