Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe exploit in Flash-player direct misbruikt -- update

In recente versies van Adobes Flash-player is een lek ontdekt. De exploit zou door malwareverspreiders inmiddels op grote schaal worden misbruikt voor het ongemerkt installeren van keyloggers.

Flash-logoHet lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0. Adobe heeft in een korte verklaring laten weten op de hoogte te zijn van de bug en met malwarebestrijders samen te werken om de problemen in kaart te brengen.

Aanvallers gebruiken de zero day exploit inmiddels om met behulp van sql-injecties websites te laten doorverwijzen naar enkele Chinese domeinen waar malware in de vorm van Flash-scripts is geplaatst. Deze kwaadaardige code installeert vervolgens ongemerkt een keylogger. Inmiddels zouden volgens Symantec meer dan twintigduizend websites zijn besmet met scripts die gebruikers doorsturen naar de malwaresites.

Zowel Firefox- als IE-gebruikers zouden kwetsbaar zijn voor een aanval, maar het is vooralsnog onbekend of naast Windows ook andere besturingssystemen kwetsbaar voor de aanvallen zijn. Tot het lek is gedicht, wordt aangeraden om de domeinen wuqing17173.cn en woai117.cn te blokkeren. Verder verdient het volgens de beveiligingsonderzoekers van het US-Cert aanbeveling om Flash-content selectief te blokkeren, zoals bijvoorbeeld met de Noscript-addon voor Firefox, of om de plugin in zijn geheel uit te schakelen.

Update 30/5, 16:30: Na enig speurwerk van onder andere Cert blijkt dat bovengenoemde bug in de meest recente versie van de Flash-player, 9.0.124.0, al is gedicht. Adobe raadt iedereen aan om naar deze versie te upgraden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Dimitri Reijerman

Redacteur

28-05-2008 • 16:33

67 Linkedin

Reacties (67)

Wijzig sortering
Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
Let op dat je hiermee niet de gewraakte sites zelf blokkeert maar alleen de DNS entries. Indien een andere naam gebruikt wordt om de site aan te roepen (of direct via IP-adres) dan kan de exploit alsnog geïnstalleerd worden.

De (meer universeel aangeduide) locatie van het hosts-bestand is: %WINDIR%\system32\drivers\etc\hosts
"For Internet Explorer users, uninstalling Flash Player is the best remedy. Adobe offers a standalone uninstaller to remove the program. According to Symantec, setting the kill bit for ClassID d27cdb6e-ae6d-11cf-96b8-444553540000 until an update is available will also help to protect from attacks. IE users can also, however, block execution of Flash objects and consign the browser to a sandbox using the c't IE Controller (German language page) which should also work for English language users."

bron: heise-online

[Reactie gewijzigd door GetaGrip op 28 mei 2008 18:26]

"Well, I guess the game is on...... - The last massive SQL injection victimized over half a million websites! And this beast just got his wings."

bron: http://www.0x000000.com/

Altijd leuk om iemand heeeeeel technisch te zien doen ;)
Leuk en aardig allemaal, maar hoe weet je nu of je die keylogger hebt. Hoe heet dat ding, en zijn er al tools beschikbaar om te scannen?

Edit: ik gebruik trouwens al een tijdje dit: https://addons.mozilla.org/nl/firefox/addon/433

dus dat zit wel goed..

[Reactie gewijzigd door sander1001 op 29 mei 2008 00:22]

Aangezien er nog maar weinig 100% goede Heuristic scanners bestaan, is het wel degelijk zeer gemakkelijk om tegenwoordig een nieuw virus te installeren. Alle bescherm methodes zijn openbaar, de virus schrijver draait dus gewoon een systeem met Kaspersky, NOD32, AVG, Trend-Micro, F-Secure, etc, etc en probeert allemaal kleine aanpassingen uit.

Vaak is een kleine aanpassing al voldoende, omdat daarmee de "virus signature" niet meer klopt waardoor de anti-virus scanner het virus al niet meer herkent. Alleen via Heuristic scannen kan de AV software "iets" doen, maar dat is verre van ideaal en wordt soms uitgeschakelt door de vele "false-positives" die het kan veroorzaken.

Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren.

Internet Explorer gebruikers hebben dan wel het voordeel dat via de <object> methode een versie nummer kan worden meegegeven om aan gebruikers van andere websites te laten zien dat ze een verouderde versie gebruiken (en dus geen apart bezoek aan adobe.com nodig is). Echter de meeste websites laten dat achterwegen of geven een zeer oude versie aan als minimale ondersteuning voor de gebruikte Flash technieken.

Zou eventueel een idee zijn voor Tweakers.net om voor IE gebruikers de allerlaatste Flash versie te forceren en wat meer actief meehelpen aan een veiliger internet. Via een simpel PHP script kan je via cURL de allerlaatste versie van Flash achterhalen van de adobe.com website en deze toevoegen aan de <object> code die door http://tweakimg.net/x/swfobject.js gegenereerd wordt via de SWFObject functie. De adobe.com scan kan dan gewoon via een cron worden gedaan elke 12 uur ofzo.
"Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren."

Uit het artikel:

"Het lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0."

Dus, hoe kom je er bij dat het al is opgelost?
Omdat Adobe's Product Security Incident Response Team dit zelf zegt?
"This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0."
Overigens zegt CERT hetzelfde:
This issue has been addressed in the most recent version (9.0.124.0) of Adobe Flash. Microsoft Windows users should browse to the Adobe Flash Player Support Center downloads and install the most recent version of Flash site using Internet Explorer, then repeat the process for all other installed browsers (Firefox, Opera, Safari, etc). Systems that are not running Windows should be updated by going to the Adobe Flash Player Support Center downloads and installing the most recent version of Flash with all each web browser on the system.
Wie netjes z'n computer en plugins up to date houdt hoeft zich dus totaal niet druk te maken over deze exploit.

[Reactie gewijzigd door mindcrash op 29 mei 2008 00:34]

Dit is geen bug, Adobe heeft Flash 'scripting' mogelijkheden behoorlijk uitgebreid.
Natuurlijk is het wel een bug, Adobe bevestigt het zelfs (zie link in het artikel hierboven) |:(

En een (momenteel) ondetecteerbare keylogger maken is vrij simpel hoor; zeker met alle malware-toolkits van tegenwoordig hoor. Het blijft nou eenmaal een kat- & muisspel tussen de misbruikers en de beschermers. En aangezien er blijkbaar grof geld mee te verdienen valt, worden de aanvallers ook steeds "professioneler" :(
Klopt. De laatste versie (9.0.124.0) is niet kwetsbaar. Ook is dit inmiddels te lezen op de website van Symantec en Adobe zelf.

This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.


Testen om te kijken welke versie je hebt van Flash doe je hier.

NB: De exploit zou volgens geruchten Kaspersky antivirus uitschakelen.

[Reactie gewijzigd door DutchBreeze op 29 mei 2008 11:58]

IE7 in combinatie met Protected Mode draait normaal in een sandbox.

Ik steun LuCarD: Wie voelt zich geroepen om het even uit te testen? (in een VM ofzo, ik heb nu even geen Vista VM bij de hand...)

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True