Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 83 reacties

Adobe heeft op zijn patch day geen patch uitgebracht voor een kritieke kwetsbaarheid in Flash. Het bedrijf waarschuwt dat het lek actief wordt gebruikt en kondigt aan donderdag met een oplossing te komen.

Adobe Flash Player logo (75 pix)In de waarschuwing baseert Adobe de mededeling dat de kwetsbaarheid actief wordt gebruikt, op een bericht van beveiligingsbedrijf Kaspersky. Bij de kwetsbaarheid gaat het om cve-2016-4171, aanwezig in Flash-versie 21.0.0242 en lager op Windows, OS X, Linux en Chrome OS. Het lek wordt gebruikt in 'beperkte en gerichte' aanvallen.

Volgens Kaspersky zijn de gebruikers bekend als de groep StarCruft, die door het bedrijf wordt geclassificeerd als apt. Deze groep is actief in verschillende landen, waaronder Rusland, Nepal, Zuid-Korea, China en Koeweit. Naast de Flash-exploit maakt de groep bij verschillende campagnes gebruik van een tweede kwetsbaarheid in Flash en een andere in Internet Explorer. Doelwitten van StarCruft zijn 'high profile victims', aldus Kaspersky.

Het Windows-beveiligingssysteem EMET moet effectief zijn tegen de aanval, zo voegt het bedrijf toe. Na de patch van Adobe wil Kaspersky meer informatie vrijgeven over de geïdentificeerde aanval. Adobe raadt gebruikers aan om zijn blog in de gaten te houden om op de hoogte gesteld te worden van een patch. Tweakers schreef onlangs een achtergrond over Flash, dat al lange tijd geplaagd wordt door kwetsbaarheden.

Moderatie-faq Wijzig weergave

Reacties (83)

Misschien moet Adobe Flash omzeep helpen en niet meer gebruiken, dat zou de ultieme "patch" zijn. Hoeveel van deze patches komen er nog voordat we er achter zijn, dat Flash achterhaald, gevaarlijk, eeuwig lek is.
Iedereen weet dat Flash gevaarlijk is en het is dan ook op zijn terugweg. Dat neemt niet weg dat onnoemelijk veel sites en diensten er vandaag nog altijd gebruik van maken en dat zonder patching mensen gewoon een onveilige versie gaan blijven gebruiken.

Dat flash zo gebukt gaat onder problemen is deels het gevolg van zijn eigen succes. Daardoor moet Adoba al jarenlang oude code blijven ondersteunen die geschreven is in een tijdperk waarin security als iets minder belangrijk werd aanzien. Je kan die code ook niet zomaar even vanaf 0 gaan herschrijven want dan introduceer je weer een hoop nieuwe bugs. Flash is slachtoffer van zijn eigen populariteit.
Welke _belangrijke_ diensten maken er gebruik van? Kun je echt niet zonder?

Dan nog, _als_ je het al wilt gebruiken kun je het het beste in een VM draaien.
VMware vSphere webclient in de meeste bedrijven :)
Gelukkig is de volgende versie volledig HTML5

Zo zie je ook nog vaak Java terugkomen. Puur nodig voor het beheer van een aantal zaken (zoals switches). En Minecraft natuurlijk... Laten we Minecraft niet vergeten..
Minecraft is niet Java in een browser neem ik aan? Want dan is er niet zoveel aan de hand.
Iedereen weet dat Flash gevaarlijk is en het is dan ook op zijn terugweg. Dat neemt niet weg dat onnoemelijk veel sites en diensten er vandaag nog altijd gebruik van maken en dat zonder patching mensen gewoon een onveilige versie gaan blijven gebruiken.
Het laatste komt omdat niet iedereen weet dat Flash gevaarlijk is.

Het feit dat sites en diensten Flash blijven implementeren ondanks dat ze weten dat het gevaarlijk geeft als aan dat het weten dat het gevaarlijk is niet het punt is.
Wat veiligheid betreft, ben ik het met je eens. Als het echter op animatiewerk aankomt, is het voorlopig nog ver vooruit aan de alternatieven met HTML5.

Behalve dat je met HTML5 beperkter bent in de animatiemogelijkheden, is het lastiger de output efficient te krijgen en (als je banners maakt) is er weinig standaardisatie in de vereisten bij advertentieplatformen. Dat is echt een drama.

Daarnaast wordt Flash ook gebruikt voor tekenfilm series. O.a. Bob's Burgers wordt in Flash gemaakt. Dus 'omzeep helpen' lijkt me niet direct heel verstandig.
Er zijn ondertussen genoeg conversietools (die Flash omzetten in HTML5), dus dat zou al geen argument mogen zijn. Het grote probleem is dat nog steeds te veel nieuwe content in Flash gemaakt wordt. De beste manier om daar een einde aan te maken is waarschijnlijk het volledig en totaal uitroeien van Flash (inclusief het vernietigen van de source code).
Heb je ervaring met die conversietools? Ik wel. Het klinkt leuk maar in de praktijk wordt de output maar op enkele ad platforms ondersteund.

En het is een beetje tegenstrijdig om te zeggen dat je conversietools moet gebruiken om Flash om te zetten naar HTML5 maar desondanks toch Flash volledig moet uitroeien. Hoe ga je dan de Flash maken die je wilt converteren?
Heb je ervaring met die conversietools? Ik wel. Het klinkt leuk maar in de praktijk wordt de output maar op enkele ad platforms ondersteund.
Dan zit daar nog wat werk. En dat lijkt me voornamelijk het probleem van die ad-platforms, ik zit toch al niet te wachten op advertenties, laat staan advertenties in het onveilige flash-formaat.
En het is een beetje tegenstrijdig om te zeggen dat je conversietools moet gebruiken om Flash om te zetten naar HTML5 maar desondanks toch Flash volledig moet uitroeien. Hoe ga je dan de Flash maken die je wilt converteren?
Ik zie geen tegenstrijdigheid. Dat converteren is voor oude content, nieuwe zou niet meer gemaakt moeten worden.

[Reactie gewijzigd door Freee!! op 15 juni 2016 12:32]

ik zit toch al niet te wachten op advertenties
Waar jij en ik op zitten te wachten is denk ik een andere discussie ;)
Wat veiligheid betreft, ben ik het inderdaad met je eens.
Dat converteren is voor oude content, nieuwe zou niet meer gemaakt moeten worden.
In jouw voorgaande reactie op mij zei je "Er zijn ondertussen genoeg conversietools, dus dat zou al geen argument mogen zijn". Ik heb het nooit over oude content gehad, vandaar dat ik je punt niet helemaal begreep.

Maar als conversie een oplossing voor oude content is, wat is dan de oplossing voor nieuwe content? Ik kan best begrijpen dat je er vanaf wilt, maar de alternatieven zijn (voor ontwikkelaars) op dit moment echt niet zo fantastisch als dat je misschien denkt.

Overigens is de output van conversie ook niet altijd geweldig omdat sommige dingen nou eenmaal niet in HTML5 kunnen die wel in Flash kunnen. Zoals bijvoorbeeld blend modes en masking.

[Reactie gewijzigd door Sebben op 15 juni 2016 13:11]

[...]
Waar jij en ik op zitten te wachten is denk ik een andere discussie ;)
Volkomen waar, maar als advertentieboeren willen dat hun advertenties gezien worden, zullen ze toch echt rekening moeten houden met de wensen van het beoogde publiek (geen Flash om te beginnen).
Wat veiligheid betreft, ben ik het inderdaad met je eens.
Mooi
[...]
In jouw voorgaande reactie op mij zei je "Er zijn ondertussen genoeg conversietools, dus dat zou al geen argument mogen zijn". Ik heb het nooit over oude content gehad, vandaar dat ik je punt niet helemaal begreep.
Conversie is eigenlijk altijd voor bestaand spul uit een oud formaat dat je ook in een nieuw formaat wilt gebruiken, dus oude content is wat mij betreft impliciet in conversie.
Maar als conversie een oplossing voor oude content is, wat is dan de oplossing voor nieuwe content?
In een nieuwe tool maken.
Ik kan best begrijpen dat je er vanaf wilt, maar de alternatieven zijn (voor ontwikkelaars) op dit moment echt niet zo fantastisch als dat je misschien denkt.
Spijtig, maar dat is (voor mij althans) nog geen reden onveilige troep te accepteren.
Overigens is de output van conversie ook niet altijd geweldig omdat sommige dingen nou eenmaal niet in HTML5 kunnen die wel in Flash kunnen. Zoals bijvoorbeeld blend modes en masking.
Dan zetten ze maar wat meer haast achter het ontwikkelen daarvan of ze doen zonder.
Je 'ze lossen het maar op' mentaliteit is leuk, maar het is nog niet opgelost. Dat betekent nu frustratie voor zo'n beetje elke schakel in het proces. Van creatie, tot hosting, overal moeten extra uren in gestoken worden en de kwaliteit laat vaak te wensen over.

Flash is dood, dat is goed. Maar laten we niet doen alsof het alternatief fantastisch is. Die 20 jaar ontwikkeling van een animatietool haal je niet zomaar even in.
Conversie is eigenlijk altijd voor bestaand spul...
Je gaf het aan als argument op mijn post. Die ging over nieuwe content.
Ik vind dit een beetje vreemde discussie. De thread Komt op mij over als "Flash moet eigenlijk z.s.m. verdwijnen, maar er zijn eigenlijk nog geen goede alternatieven voor de advertentie industrie, dus het kan beter nog even blijven".
Alsof de gebruiker Flash installeert om advertenties te kunnen kijken. :+
Flash mag er wat mij betreft wel uit, maar men overschat de alternatieven een beetje. Behoorlijk serieuze cartoons worden in Flash gemaakt, dat is niet voor niks. Die tool is gewoon goed uitgewerkt
http://greensock.com/docs/#/HTML5/GSAP/ & Adobe Animate CC zijn beide zeer fijne alternatieven voor flash. Kan je alles mee waarvoor je normaal flash zou gebruiken. Ondersteuning is zeer goed.
Met tools waar je HTML5 mee schrijft. Er zijn al HTML5 games, video players etc. dus er zijn voldoende mogelijkheden. Wellicht niet meer de easy-mode drag 'n drop interface van Flash Pro, maar er zijn dus mogelijkheden.
Helemaal mee eens. Zelfs Adobe heeft het programma Flash vervangen voor Adobe Animate CC. Deze kan alles wat je maakt naar valid html5 converten.
Ja Animate is inderdaad een een van de beste opties. Qua tool heel fijn (bijna identiek aan Flash) en de output is lekker compact. Animate werkt alleen wel met canvas, dat is CPU intensief waardoor het (zeker de eerste loop) niet zo lekker draait, met name op telefoons.

Andere tools die met CSS animeren hebben daar veel minder last van maar die zijn zelf weer minder praktisch in het gebruik.
Als Adobe ook nog eens met een fatsoenlijke downloadpagina zonder vinkjes komt en installers levert die enkel Flash Player installeert i.p.v. eentje die ook nog eens malware pusht.
Het is toch totaal van de zotte dat je als gewone consument door allerlei hoepels moet springen om ongevraagde extra's niet te krijgen :? En als het nu nog onschuldig spul was, maar zelfs dat krijgen ze bij Adobe niet voor elkaar.
Adobe moet natuurlijk wel iets verdienen aan een gratis player voor de consument.
Als ze helemaal niets verdienen was het al een tijdje zoek met de beveiliging.
Pfff, die gratis player is een runtime platform om content gemaakt met Adobe's software te kunnen afspelen. We doen Adobe een gunst door dat te installeren. Waarom moeten we dan bij elke update van de runtime ook nog risico's lopen op adware, gewijzigde zoekmachine en homepage? Ik vind dat te gek voor woorden.
Ze mogen van mij er per direct mee stoppen, probleem al bijna opgelost.
Je bedoelt op een vinkje klikken?
Als het bij één vinkje zou blijven, zou het nog tot daaraan toe zijn.
Als ik nu naar de Adobe Flash pagina ga zie ik 1 vinkje voor McAfee die heel duidelijk in beeld komt, verder niets. Er wordt verder ook niets geinstalleerd wanneer ik deze uitschakel.
unchecky zet ze standaard voor je uit :)
Maar ik wil helemaal niet registeren (om mijn gegevens weer bij een datalek terug te vinden) of voor een clean installer betalen.

Zeker niet als het eerst WEL gratis kon zonder gegevens prijs te geven of troep op je pc te krijgen.
Pff .. adobe patches packagen en deployen is de nummer 1 van onze software distri aan het worden ...
Ik gebruik SCCM om Windows updates te pushen naar de clients, via SCEP kan je heel erg makkelijk deze Flash updates toevoegen aan SCCM en distribueren naar je clients.
Tja.. ik ben bang dat het een beetje lastig wordt om zo even over te stappen naar een ander software distributiesysteem :)

Er wordt van normaal lifecyclemanagement uitgegaan, en niet van dweilen met de kraan open.
Dan is het niet zo gek om voor de toekomst eens te kijken naar sccm ;)
Is niet alles maar voor updates te pushen werkt het heerlijk
Een omgeving van 40k desktops ziet de wereld er anders uit.
Packagen van Flash updates is bij ons minuten werk. Leuk is inderdaad anders maar echt veel tijd neemt het allemaal niet in beslag.
Maar het is alles eromheen. De escalatie , de aanvraag, de prio , de planning aanpassen etc. Alles wat je niet kan plannen is gewoon niet handig. Maar met Adobe zou je het bijna kunnen inplannen
Hoezo bijna :? Gewoon elke dag een update inplannen en als er een keer niets is, ben je gewoon snel klaar.
Tips? Mij ontbreekt als enige systeembeheerder van een klein bedrijf de tijd en kennis om dit goed te doen voor Flash, Java, Adobe Reader, etc.. Deployen via Group Policies is teveel handwerk met teveel uitzoeken en testen. PDQ Deploy werkt makkelijker maar doet alleen handmatige deploys tenzij je voor de Enterprise editie betaald.
Dan wordt het tijd je kennis bij te schaven. De tijd die je daarin investeert verdien je weer terug door later niet alles meer handmatig te hoeven doen.
Ik heb alleen wat ervaring met packagen applicaties. Voor deployen gebruiken wij SCCM, mijn kennis daarvan is vrij oppervlakkig dus ik kan je daar niet echt advies in geven.
De beste patch voor Adobe Flash is gewoon die hem desactiveerd. Ik was vroeger pro-Flash omdat HTML5 in de kinderschoenen stond, echter dat is nu toch wel anders. Het is gewoon één grote gatenkaas.
Probleem is dat de NL omroepen nog steeds uit gaan van Flash, want anders had ik het allang ge-deinstalleerd.
Als jij het nu eens de-activeert en dan bij NPO gaat klagen :? Als er genoeg klachten komen (en een enorme achteruitgang in bereik), gaat NPO echt wel overstag.
Ik heb het standaard ge-deactiveerd maar moet het toch steeds aan zetten als ik een Nieuwsuur of EenVandaag item wil zien.

En het zijn ambtenaren dus het zal nog wel even duren. Ze lopen nooit vooraan maar als de rest van de wereld over is op HTML5 dan ga zij ook over.
Daar zijn zo twee andere oplossingen voor:
1) Op het tijdstip van de uitzending zelf kijken
2) Op het tijdstip van de uitzending opnemen
Dat zijn natuurlijk niet echt oplossingen, maar workarounds.
Je hebt gelijk dat iedereen zou moeten gaan klagen, maar in de praktijk zijn (de meeste) mensen daar net wat te weinig energiek in. En zelfs als je dat doet, wat @ArtGod al zegt; vaak duurt het nogal even, zelfs bij veel klachten, voordat er iets aan zou gebeuren.

De pijnlijke realiteit is dat we nog wel een tijdje aan flash 'vastzitten' :/
[...]
De pijnlijke realiteit is dat we nog wel een tijdje aan flash 'vastzitten' :/
Je hebt volkomen gelijk, maar het zou een stuk sneller gaan als het vakkundig en volledig om zeep geholpen zou worden.
3) niet kijken!

Ik ben er zo klaar mee, van die websites die moeilijk doen. Ik heb Flash gedeinstalleerd en dat blijft zo. Mocht een site het perse willen gebruiken, dan hebben ze pech! Geldt ook voor sites die met malle popups beginnen te janken over een enquete of adblocker. Ik heb genoeg andere dingen om te lezen of te bekijken.
Nice :) Mooi dat je zo achter je principes staat!
Als jij het nu eens de-activeert en dan bij NPO gaat klagen :? Als er genoeg klachten komen (en een enorme achteruitgang in bereik), gaat NPO echt wel overstag.
Zo werkt het niet. Het gros van de mensen is zich niet bewust van de problemen rond Flash. Die weten niet eens dat Flash benodigd is voor die site.
De klachten van een paar tweakers gaan er niets aan veranderen.
Waarom verwijder je hem zelf niet? Probleem opgelost.
Ik heb hem alleen in een browser geinstalleerd staan welke ik gebruik voor sites waar het echt niet anders kan. M'n main browsers doen er niet aan ! : )
Hoezo de-activeren :? De-installeren werkt een stuk beter, kan het ook niet (per ongeluk >:) ) weer ge-activeerd worden.
Ik vraag mij steeds af hoe ze zoiets slechts hebben kunnen maken. Er zitten letterlijk HONDERDEN zero-days in Flash en het blijft maar doorgaan.
Ik krijg er een beetje een "conspiracy"-gevoel bij. Alsof er een dubbele agenda aan vastzit en het allemaal opzettelijk gedaan wordt. Want inderdaad, hoe is het mogelijk dat dit stuk software zo vol gaten kan zitten? Telkens als er eentje gedicht wordt, gaat er wel een ander open. Is er eigenlijk nog wel wat van de originele code over na al die patches?
Flash is ook de reden dat de geheimen van het Westen allemaal leeggeroofd worden door China en Rusland.
Tja, de gelegenheid maakt de dief natuurlijk.
Ik denk gewoon dat Flash naief in elkaar steekt. Het is bedacht in een tijd met weinig internet gevaren en waarin we midden in de performance piek zaten waar PCs rap steeds krachtiger werden. Hierdoor is Flash zowel onveilig als traag, de steeds snellere PCs zouden dat wel oplossen.

De tweede reden is dat het veel aanvals "vectoren" heeft. Flash heeft verregaande rechten op je systeem, zoals het file systeem, je webcam, etc. Dat levert een enorm "oppervlak" aan mogelijke gaten op.

Flash is behoorlijk eng als je er overnadenkt, het is min of meer een .exe draaien vanaf het web en bidden dat het niets slechts doet.
Precies, als je op google zoekt naar 0-day Flash krijg je honderden resultaten die allemaal verschillend zijn. Flash moet er gewoon helemaal uit.
Toch ben ik blij dat Flash niet meer zo heel populair is en hoop ik deze in de komende jaren niet meer te zien. In bijna elk nieuws item die over Flash gaat zie ik het woord "zero-day-kwetsbaarheid".

Zucht..
Er lijkt wel dagelijks een nieuwe (veiligheids) update voor Flash en Skype! Al jaren.
Adobe wordt beetje de nieuwe Oracle met z'n Java, lek, niet werkend, maar nog steeds verplicht.
Blijven trekken aan een dood paard.
Helaas is Flash nog niet dood :(
Flash is echt de rotte appel van het internet geworden. Hoe kan het nou dat het zoveel security problemen bevat? Heeft het met de manier van code execution te maken ofzo?
Flash kan in ieder geval ook op oudere computers probleemloos video weergeven. Iets wat met HTML5 niet gaat vanwege de H264/AAC codec die voor de decodering veel rekenkracht nodig heeft als de grafische kaart de decodering niet ondersteunt. Dit is een belangrijke reden waarom Flash nog steeds gebruikt wordt op videosites.
HTML5 ondersteunt wel MP4 maar geen andere minder rekenintensieve formaten zoals Theora (ogg) of Webm. Internet Explorer en Safari liggen hierbij dwars en bieden hiervoor geen ingebouwde ondersteuning. Zie https://en.wikipedia.org/wiki/HTML5_video#Browser_support
Om Flash weg te krijgen zal de videosupport in HTML5 dus eerst moeten verbeteren.
Mijn 12 jaar oude reserveDesktop speelt zonder problemen MP4 af. Ook ben je verkeerd qua Ogg. Zowel Ogg Vorbis als Theora vereisen veel meer rekenkracht dan vergelijkbare formaten. Er is op oudere computers inderdaad geen hardware versnelling aanwezig voor h264, maar die bestaat sowieso niet voor ogg/webm. Mp4/h264 is dus praktisch gezien de beste( en meest ondersteunde) optie. Er zijn inderdaad mogelijke onzekerheden over patenten maar dat zegt niks over technische kwaiteiten van h264 en bovendien hebben patenten JPEG en GIF ook niet gehinderd.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True