Adobe brengt patch uit voor kritieke kwetsbaarheid in Flash Player

Adobe heeft een patch uitgebracht voor de Flash Player-plug-in voor browsers. Het gaat om een kritiek lek waarmee een aanvaller een remote code execution kon uitvoeren op een systeem. Het is de derde beveiligingspatch die Adobe dit jaar uitbrengt voor de Player, en mogelijk de laatste.

De kwetsbaarheid staat bekend als CVE-2020-9746. Het gaat volgens Adobe om een 'kritiek lek'. Het is een null-pointer-dereference-kwetsbaarheid die voorkomt als een programma naar het geheugen met een null-pointer schrijft. Het is op die manier mogelijk een arbitrary code execution uit te voeren, schrijft Adobe.

De kwetsbaarheid zit in de plug-in voor browsers en de desktopsoftware. Het gaat om versies die ouder zijn dan 32.0.0.433, in zowel de Adobe Flash Desktop Runtime voor Windows, macOS en Linux, de browserversies voor Chrome en versie 32.0.0.387 van Flash voor Edge en Internet Explorer 11. Adobe zegt dat het inmiddels een update voor het lek heeft. Gebruikers krijgen die automatisch, maar kunnen die ook handmatig downloaden.

De patch is de derde die in 2020 wordt uitgebracht voor een beveiligingslek in de Flash Player. Mogelijk is het ook de laatste beveiligingspatch ooit voor de software. Die wordt per 1 januari 2021 uitgefaseerd. De software is dan end-of-life en krijgt dan geen beveiligingsupdates meer.

Door Tijs Hofmans

Nieuwscoördinator

14-10-2020 • 11:11

71

Reacties (71)

71
68
39
5
0
21
Wijzig sortering

Sorteer op:

Weergave:

De patch wordt ook via Windows update verspreid (Windows 10 1909)
Let erop dat de update die Windows Update verspreid alleen is voor de ingebouwde plugin van Edge.
Als je een andere browser gebruikt heb je de Flash plugin ook los geïnstalleerd en moet je ook de update van Adobe zelf installeren.
Als uw werkgever updates heeft uit gezet en geblokkeerd heb je daar weinig aan...
Als uw werkgever standaard alles blokkeert, en niet eens handmatig goedkeurt, dan gaat er iets mis in de processen van het bedrijf.
Welkom in 1993 dan. Tijd om een ICT partij te nemen met competente
mensen die wel security op de eerste plaats hebben staan.

Niet updaten is achterlijk, dan loop je met Windows 10 al binnen 18 maanden
buiten ondersteuning.
Is niet helemaal waar. Ligt er aan welke smaak en versie je gebruikt. Bedrijven hebben vaak een Enterprise smaakje en dan heb je met de xx09 langer ondersteuning dan de xx03 versie

https://docs.microsoft.co...dows/release-information/
Hoe vaak je enterprise ziet ligt aan de omvang en je doelgroep. Zelf werk ik voor een organisatie die MKB en MKB+ bedient en daar zit nagenoeg geen enterprise licentie tussen. Dat zijn veelal standaard
werkstations met standaard Windows 10 Pro.
Dan nog wordt deze ook via Windows Update verspreid.
Huh nee? Als je gewoon wat group-policies aanzet niet. En in een ideale wereld houd je geen updates tegen, maar in een ideale wereld maakt dat ook je software niet kapot (die in een ideale wereld hier niet gevoelig voor zou zijn...) en gaat je computer niet op kritische momenten updates installeren.
MiesvanderLippe: jij hebt het over de update niet ontvangen door policies; Vinzz over het verspreiden. Het verspreiden van de update is een gegeven. Dat gaat door ongeacht of mensen hem wel of niet ontvangen / installeren; Microsoft stopt dan niet met het verspreiden van de update via Windows update.
Hoe komen zij security audits door dan?
Je hoeft niet door security audits heen te komen als je die gewoon niet laat doen hè ;)
Goed om te weten mbt de aanstaande EOL:
- Adobe zal vanaf januari Flash blokkeren. Dus ook als je het niet verwijdert krijg je een melding en kun je geen Flash-inhoud meer afspelen.
- Je kunt dit omzeilen met een whitelist (bedoeld voor bedrijven, uiteraard op eigen risico). Zie hoofdstuk 4 van de Administration Guide.
- Los hiervan zullen ook de meeste browsers Flash-ondersteuning verwijderen. Browsers die nog iets langer ondersteuning houden zijn IE11 (update die het verwijdert komt dit jaar uit, maar wordt pas zomer 2021 verplicht) en Firefox ESR (zolang ESR78 ondersteund wordt, waarschijnlijk tot najaar 2021).
Wat gebeurt er dan met alle Flash-spellen die nog bestaan? Hoe kunnen we die ooit nog spelen? Er zijn er genoeg die ook gewoon lokaal draaien.
Voor lokale bestanden zou je de Flash Player Projector kunnen proberen. Ik kan geen officieel bericht terugvinden of deze ook geblokkeerd gaat worden, maar deze post impliceert dat het blijft werken.

Ik vond ook nog SWF File Player. Zelf niet geprobeerd, dus kan niet vertellen hoe goed dit werkt.

Voor games heb je het project BlueMaxima's Flashpoint.

[Reactie gewijzigd door remco8264 op 23 juli 2024 05:29]

Hee, dank voor de links!

Voorlopig lijkt Sonny 2 prima te werken in zowel Internet Explorer als in Irfanview, maar ik denk dat ook de laatste afhankelijk is van Adobe's Flash. Maar die links van jou lijken me beter inderdaad.
Staat Flash tegenwoordig standaard op Windows 10 of standaard in een van de bekende browsers? Ik heb het al jaren niet meer handmatig geïnstalleerd of bewust gebruikt.
Dat is correct. Flash wordt standaard geïnstalleerd.
Flash zit ingebouwd in de Edge en IE browser van Windows 10.
Die versie is te updaten via Windows Update

[Reactie gewijzigd door SunnieNL op 23 juli 2024 05:29]

Mag toch hopen dat ze dat niet doen. Ongeveer het domste wat je standaard in een OS of browser kunt meeleveren.
Hopelijk de patch die die rommel van je computer verwijdert?
Wat je eigenlijk 10 jaar geleden zelf al had moeten doen, en er nooit meer op zetten :)

Echt, waarom willen mensen zo graag flash blijven gebruiken anno 2020 tegen beter weten in...
Soms heb je geen keuze, zoals bij oude software die flash nodig heeft, etc.
Keuze om die software niet meer te gebruiken.

Flash is daarbij niet voor software, maar voor web content. Dat is al jaren HTML5 omdat het anders voor heel veel mensen niet werkt....
Ja correct

Maar soms maken mensen nog gebruik van software, die al jaar en dag werkt ... En de kost om dat te vervangen is veel te hoog.

Hoeveel mensen gebruiken niet nog altijd een access of zelfs nog erger dbase systeem ofzo voor hun eigen zaak. Dat werkt, willen ze dit wel vervangen ja ... maar dat gaat al snel richting duizenden euro's en dan is meestal de keuze, waarom zouden we dit doen
Flash voor intern website gebruik ok maar als je nu nog flash voor je websites hebt had je dat al lang moeten vervangen.
True, maar als jij op het punt staat om bijvoorbeeld met pensioen te gaan, en dit is een real use case, ga jij dan nog tijd steken om jouw applicate te updaten ? Dit is een case dat ik ben tegenkomen en dus niet uit de lucht gegrepen.

En ik ben het er 100% mee eens dat dit al lang moest gebeurd zijn, maar voor bepaalde gebruikers maakt het niks uit. Ik heb zelf een saas applicatie waar de gebruikers nu niet bepaald vooraan in de rij stonden. Deze gebruikers weten niet wat ssl is en een slotje bijvoorbeeld. Vele van die kleine bedrijven hebben geen website of zoiets wat al in 20 jaar niet meer geupdate is. Deze zijn "blij" met wat ze nu hebben en willen niet investeren in iets nieuws, meestal gaat dit om budget, of we moeten nog 5 jaar werken. Waarom zou ik nog moeite doen, het werkt goed zoals het nu is. En nu nog iets anders gaan gebruiken ... tenzij het echt niet meer anders kan ... waarom. Vorige week nog een nieuwe (toen nog mogelijke) klant aan de lijn gehad. Die deed ook zijn verhaal, ik moet nog 2 jaar werken en nu moet ik dit allemaal gaan doen etc. Nuja dat is niet mijn probleem, maar de overheid heeft hier een paar nieuwe regels voor die sector bedacht ... En al die mensen weten zelf van niks en dit wordt ze opgedrongen, maar ze moeten of ze moeten nu al stoppen. Dusja in zo een gevallen zal het zeker nog voorkomen dat er dingen blijven gebruikt worden. Ook tegen beter weten in.

Ik heb zelf vroeger een paar animaties in flash gemaakt enzo, maar voor mij had dit al lang verdwenen mogen zijn, en ja er is tijd genoeg geweest. Maar ik ken ook nog een overheidsdienst die toen windows 10 uitkwam nog aan het bekijken was om te upgraden naar windows 7 vanaf XP. Denk dat ze een jaartje of 2 klaar zijn met upgrade naar windows 7 ... We hebben het hier niet over 1000 pc's, maar een veelvoud daarvan. Nu upgraden naar Windows 10 zou beter moeten zijn. Ok dit is intern netwerk, maar dan nog, dit wisten ze ook al langer.
Wat een mentaliteit van die mensen... Ik ga over 2 jaar met pensioen dus ik begin alvast met niets doen. Ook bij bedrijven waar ik weggegaan ben heb ik tot de laatste dag doorgewerkt en die lui houden 2 jaar van tevoren al op. Neem dan ontslag zou ik zeggen.

Allemaal jouw schuld niet, uiteraard, en ik begrijp je verhaal van "hier moet ik nu eenmaal mee werken".
Ja ze bekijken het gewoon van, waarom de moeite nog doen, of veel tijd en/of geld investeren voor iets dat nu werkt, en op 1 of andere manier nog wel zal werken. Waarom dan upgraden ... Vele bedrijven werken nu eenmaal met budgetten voor X en Y. En zeker al de kleine bedrijven. Ik werk niet echt met budget, als ik iets nodig hebt, komt dat er ook. En ik heb dan wel een "folliekes" budget (lees dus in NL zijn extra hebbedingetjes die ik wel wil, maar is geen absolute noodzaak, maar gewoon leuk). Natuurlijk in een eenmanszaak is dat allemaal gemakkelijker (als het goed gaat). Maar mensen die met moeite de kop boven water houden gaan zeker niet al te veel investeren. Er zijn nog altijd genoeg websites zonder ssl ... Als je daar dan iets van zegt, dan zeggen ze vaak, waarom zou ik dat doen ? Dan mag je nog proberen uit te leggen waarom ... Het enige punt dat kan helpen is ... als je wilt gevonden worden in Google, dan moet je dit wel hebben, anders val je weg ... Ooit zo eens bij een vriend van een vriend omdat die een website wou ... In principe maak ik geen websites meer. In elk geval hij toont mij wat hij in gedachten had ... Ik zeg ik zal alles eens bekijken ... Hij zei er is geen haast bij, mijn orderboek zit al tot eind volgend jaar vol (we waren maart) ... Dit is een schilder ... We zijn ondertussen 6-7 jaar later, nog altijd geen website. Tsja daarom verdoe ik ook geen tijd meer met zo een zaken .. Maar de dag dat het orderboek leeg is of minder vol begint te geraken, dan moeten ze gisteren een website hebben en willen ze dit op de eerste pagina hebben uiteraard, gisteren ... Ja zo werkt het niet natuurlijk. Dat mag je nu 1000x uitleggen, en als er daar dan 15-20% mee instemt om het toch te doen zal het veel zijn. En ik kan gerust appels voor peren verkopen om het zo te zeggen. Velen zien het nut er niet van in, en de kostprijs is gewoon een extra "money sink" en "het is niet nodig". Dat is spijtig genoeg hoe velen er over denken. De kleine ondernemers en gdpr ... dat is een ramp. Vraag eens aan 10 taxi chauffeurs, 10 bakkers, 10 schilders, 10 slagers, 10 klusjesbedrijven wat gdpr is, als je van 2 a 3 per groep een zinnig antwoord zal krijgen zal het veel zijn. Die mensen hun business is niet IT, die liggen daar ook niet van wakker. Zolang alles goed gaat uiteraard
Niet noodzakelijkerwijs.
Flash is een bestand en dat kun je uit laten uitvoeren door de Flash player.
Het formaat is bedoeld voor webpagina's, dat wel. Maar dat wil niet zeggen dat iedereen het zo heeft toegepast. Voor offline toepassingen was ShockWave beter, dat zal wel net zo gevoelig zijn voor kwetsbaarheden.
Als consument, meestal wel ja, als bedrijf ligt dat echter vaak anders. Daar zijn systemen veel meer aan elkaar gekoppeld en is er vaak niet één iemand die precies weet hoe dit allemaal zit. Dus het ombouwen van een flash systeem kost heel veel tijd en waarschijnlijk ook geld en is vaak gewoon geen prioriteit voor een bedrijf.
Zeker omdat die systemen soms niet eens aan het internet hangen is dat niet perse zo schadelijk als het lijkt, want het is ook weer niet zo dat het hebben van Flash je opeens volgooit met virussen. Zeker in grotere bedrijven zijn zulke systemen überhaupt niet toegankelijk vanaf het internet dus is het risico al lager dan een consument die een flash game opent.

En 'het is niet voor software maar voor web content', dat roept wel een vraag op: wat is het verschil tussen software en web content. Een spelletje op een website geschreven in flash, dat is net zo goed software als een spelletje gemaakt in Unity toch? Dus waar trek je die grens, in principe is alles wat code uitvoert gewoon software.
ESX vSphere is een mooie. De HTML5 variant is veel beperkter. Voor veel functies moet je toch weer terug naar de Flash variant.

Nu schijnt ESX 7 eindelijk de HTML5 versie feature-compatible gemaakt te hebben, maar dat is dan alsnog vrij traag. ESX 6 zal nog wel flink wat jaren her en der gebruikt blijven worden.
De Flash variant wordt al jaren niet meer gebruikt voor ESXi. Als het goed is kunnen de native clients ook niet meer verbinden met de ESXi host (zowel standalone als met vCenter) sinds vSphere 6.
Alle onderwijs tools\sites werken met flash.
Sowieso bijna alles dat kinderen gericht is.
In de thuisschool-periode niets van gemerkt gelukkig... ;)
Dus kennelijk zal dat wel mee vallen.
Van de basisschool wel. Mijn dochter heeft het overal bij nodig
kennelijk heeft onze basisschool dan beter software. :P
Kennelijk net welke aanbieder ze hebben.
.oisyn Moderator Devschuur® @Finger14 oktober 2020 15:30
Tja, bij mijn dochters ook niet, dus je kwalificatie dat alle onderwijstools het nodig hebben vind ik wat voorbarig :)
Spelletjes, duh!

(Sta je echt zo ver af van de gewone gebruikers, of doe je alsof?)

Facebook spelletjes zoals Farmville etc.

Of bijvoorbeeld Settlers Online. Die hebben nu eindelijk aangekondigd dat het spel na het stoppen van Flash toch verder gaat, met behulp van een andere technologie. Dus blijkbaar levert het spel genoeg op om deze moeite voor te doen. En zo zullen er vast nog veel meer zijn.
Defineer "gewone gebruikers".

Facebook heb ik wel gehad, maar spelletjes? Wist niet eens dat ze er waren.
Ook mijn vrouw en onze pubers hebben dat nooit ontdekt kennelijk.

De laatste keer dat ik flash tegenkwam, ik gok 10 jaar geleden, daarna nog wel eens een melding van een missende plugin, maar veiligheid is belangrijker. Scheelt wellicht ook dat ik Windows al heel lang uit het oog ben verloren. Heb nog wel eens een virtual gehad met XP, maar dat was toen het net uit was, daarna alleen nog wel eens een klant-laptop gehad met dat spul er op, snap werkelijk niet waarom dat zo populair is geworden.

Dus wellicht ben ik een ander soort 'gewone gebruiker' en leven die 2 soorten geheel gescheiden van elkaar 🤷🏻‍♂️

En de spelletjes, ik slinger wel een console aan ;) (Spoiler: dat is geen xbox)
Defineer "gewone gebruikers".
Iedereen zal een beetje hun eigen definitie ervoor hebben maar mijn definitie:
Iemand die een aantal onderdelen kent van de computer (monitor, muis keyboard, hardeschijf en disc drive en boxen) maar bijvoorbeeld niet het verschil tussen hardeschijf en geheugen weet (omdat het vaak allebei gaat over gigabytes). Of bijvoorbeeld niet de type aansluitingen kent van een monitor en of het past op hun computer.

Iemand die een printer zou kunnen installeren met behulp van de bijgeleverde cd maar niet weet dat je updates kan downloaden van internet.

Iemand die weet hoe je in word moet typen en plaatjes kan toevoegen maar geen hyperlink en nog nooit gehoord heeft van macro's.

Iemand die een programma kan installeren maar eigenlijk alleen op volgende klinkt en dan verbaast is als er extra programma geïnstalleerd wordt of de homepage veranderd. Zelf programma's opzoeken en downloaden wordt ook al moeilijker.

Iemand die weet wat een virus in het algemeen doet maar niet weet dat er verschillende soorten zijn. En schrikt als de virusscanner een virus gevonden heeft.

Iemand die internet opent in plaats van een browser en denkt dat alles is wat je met internet kan en outlook voor email. Dus bijvoorbeeld nooit gehoord heeft van ftp. Of iemand die weet waar www voor staat maar niet http(s). Iemand die misschien ooit eens gehoord heeft van ip adres maar dhcp en dns niet.

Iemand die weet hoe je wifi op de telefoon en laptop moet instellen maar niet weet dat je de wifi code op modem kan veranderen.

Dit is mijn definitie van een gemiddelde gebruiker.
oftewel 99% van de mensheid..
99% is misschien wel overdreven. Ik gebruik zelf persoonlijk ook de "noob" gebruikers definitie. Dit is niet om die mensen te beledigen. Ze hebben gewoon andere dingen waar ze weer goed in zijn wat ik dan weer niet kan. De mensen die hier onder vallen:
Iemand die bij me komt omdat die niet weet hoe je een muis of usb stick moet installeren.

Iemand die na verhuizing even de wifi van de buren mocht gebruiken en de wifi niet overzetten op hun modem (en dus 5 maanden internet voor niets hebben betaald). En nog erger niet wilden geloven dat ze niet op hun eigen internet zaten want ze hadden wel internet bestelt.

Iemand die bij me komt van de printer doet het niet waar gewoon de toner of cartridge van leeg is. Of geen papier. Of zelfs 1 keer dat de printer gewoon uit stond.

Iemand die als je vraagt de telefoon te resetten de telefoon op stand-by zet en dan weer aan.

Iemand als je de simkaart code vraagt de code van de telefoon zelf geeft. Of je moet uitleggen de code die te telefoon vraagt als de telefoon helemaal is uitgeweest doordat de telefoon leeg was.

Iemand die me vraagt hoe die op YouTube kan komen.

Iemand die vraagt of de pc/telefoon mag updaten. Of zelfs niet weet wat updaten is.

Iemand die me vraagt een instelling op de tv te wijzigen en mij de afstandsbediening geeft van een heel ander apparaat ook al staat er een heel ander merk op. Of de apparaat/tv is stuk alleen omdat die op de verkeerde kanaal staat.

Iemand waar je in word een handleiding heb geschreven van klik hier dan echt op de foto in word klikken. Waar je bijna baby praat moet gebruiken om uit te leggen hoe ze iets moeten doen. Dus niet dubbel klikken maar 2x snel achter elkaar klikken metvde linker muisknop zonder de muis te bewegen. Niet bureaublad/destktop maar die plek waar je achtergrond heb.

En dan ook nog de mensen die beter zijn dan de gemiddelde gebruiker natuurlijk.

[Reactie gewijzigd door Daoka op 23 juli 2024 05:29]

Waar baseer je deze uitspraak op? :? Ik zit wel op Windows (mijn desktop althans, mijn laptop van de zaak draait Kubuntu), schijnbaar ben ik dan dus wel een gewone gebruiker, maar heb ik al wel een ~5 jaar (zo niet al langer zelfs) geen Flash op mijn PC staan en merk ik er alsnog niets van. Dus hoezo 'het is helaas niet anders'? :)

[Reactie gewijzigd door CH4OS op 23 juli 2024 05:29]

Klopt. Ik heb de boel ook standaard uitstaan thuis. Maar hier en daar duikt het toch af en toe weer op. Misschien moet ik eens ophouden rond te hangen op obscure websites. :p
Omdat ik geen windows gebruik ben ik dus geen gebruiker. Oké...

Ik moet heel eerlijk toegeven dat ik dan sinds de jaren '90 al niet meer voldoe aan die term.
Want sinds windows van een applicatie naar een operatingsystem ging, was het huilen met de pet op.

Niet dat de alternatieven altijd zaligmakend waren hoor, bedoel BEOS en OS/2 warm hadden echt wel hun uitdagingen, Linux en BSD ook. Maar nog altijd minder ellendig dan de zoveelste reboot in windows. 🤷🏻‍♂️Het oude MacOS was ook niet zaligmakend, maar bij de meeste van die systemen zag je uiteindelijk vooruitgang ;)
Null-pointer-dereference will gewoon zeggen dat de locatie 0000 is, en de runtime (het besturingssysteem) laat het programma daar niet eens naar schrijven laat staan uitvoeren.
Dit klinkt meer als een buffer overflow, tenzij die null dereference naar code springt die dus uit exposed memory bestaat. Dan is die null dereference het probleem dus niet.
Beetje raar.
Ligt er precies aan in welke taal Flash is geschreven. Talen zoals Java, .Net etc. hebben een NullReferenceException of soortgelijke. Is echter een taal zoals C gebruikt, dan weet je niet precies wat er gaat gebeuren. Normaliter krijg je een segmentation fault (en crash) maar dat staat niet vast. Ook dankzij compiler optimalisaties zou er opeens heel ander gedrag uitgevoerd kunnen worden.

Ondanks dit ben ik het wel met je eens. Dit soort gedrag resulteert normaal gesproken in een crash (en dat noemen ze dan een Denial of Service).
Het is geschreven in Actionscript, wat nu blijkbaar een superset is van javascript. Deze taal is echt puur gebruikt voor Adobe software. Maar aangezien het oa geïnspireerd is door java (en javascript) zal er wel de optie van een nullpointerexception in zitten, toch?
Is echter een taal zoals C gebruikt, dan weet je niet precies wat er gaat gebeuren. Normaliter krijg je een segmentation fault (en crash) maar dat staat niet vast.
Het klopt dat de taal het niet zelf definieert, maar ik moet het eerste moderne desktopplatform nog tegenkomen waarin 0x0 toegangekelijk is binnen de address space van het proces.
Official support for Flash finally ends on December 31st, 2020, with interactive HTML5 content quickly replacing it.

[Reactie gewijzigd door joo5ty op 23 juli 2024 05:29]

Op m'n MacBook kreeg ik juist vandaag een popup van Adobe Flash Player Install Manager, om Flash te verwijderen.
Flash wordt de laatste jaren in zijn geheel als een CVE ervaren :)
Hier de download link voor de losse installers:

https://www.adobe.com/products/flashplayer/distribution5.html

Je moet wel een distributie account aanvragen (gratis)
de beste patch is nog altijd uninstall.exe
Flash zit ingebakken in Windows 10, en niet iedereen weet hoe je deze kan verwijderen.
Ik wist dit inderdaad ook niet, maar Adobe heeft er zelfs een uninstall tool voor:
https://helpx.adobe.com/f...flash-player-windows.html
Die is niet voor de ingebouwde flash versie van Edge.
These instructions are NOT applicable to Flash Player included with Microsoft Edge or Internet Explorer on Windows 8 and later
Hell no! Dat zit het toch niet mag ik hopen? Nu heb ik Microsoft al niet HEEL hoog zitten, maar ze zijn toch niet werkelijk zo dom?
Voor zover ik het mij herinner zit flash al sinds dag 1 in Windows 10.
🤯🤦‍♂️
niet iedereen weet hoe je deze kan verwijd
De edge/is versie kun je alleen tijdelijk verwijderen. Bij een update wordt het namelijk altijd weer geïnstalleerd.

[Reactie gewijzigd door pookie79 op 23 juli 2024 05:29]

En hier kun je testen of het werkt: https://get.adobe.com/nl/flashplayer/about/
Met een MS browser, natuurlijk, want Chrome doet standaard niets met Flash.
Je kan deze niet verwijderen. De enige oplossing daarvoor is wachten tot Microsoft later dit jaar een update begint te verspreiden die Flash verwijderd, zoals eerder aangekondigd.

Op dit item kan niet meer gereageerd worden.