Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Adobe gaat deze week een kritiek beveiligingslek in Flash Player verhelpen, belooft het bedrijf. Gebruikers van Chrome kunnen donderdag een update verwachten; vrijdag volgen overige browsers. De kwetsbaarheid werd actief misbruikt.

FlashDeze week werd bekend dat aanvallers e-mails verspreidden met Word-bestanden waarin een besmet Flash-bestand was ingesloten. Zo konden hackers toegang krijgen tot computers van gebruikers.

Voor zover bekend werd de Flash Player-kwetsbaarheid alleen in Windows misbruikt, maar Adobe gaat later deze week beveiligingsupdates uitbrengen voor zijn Flash Player-software voor Windows, Mac OS X, Linux en Solaris, schrijft Cnet.

Gebruikers van Google Chrome kunnen donderdag al profiteren van de beveiligingsupdate. Gebruikers van overige browsers kunnen vrijdag een update tegemoet zien. Het is nog onduidelijk wanneer de Android-versie van Flash Player een update krijgt.

Moderatie-faq Wijzig weergave

Reacties (42)

"..De kwetsbaarheid werd actief misbruikt.."

Is het zo dat er al een soort tussenoplossing is hiervoor? Of wOrdt het nogsteeds misbruikt?

edit voor reacties hieronder:
Het hele artikel is in de verleden tijd geschreven, alsof het probleem al verholpen is. (Of dat er in ieder geval een tussenoplossing is, maar daar wordt verder niet over gesproken.)
Het niet downloaden van Wordbestanden is natuurlijk geen oplossing.

[Reactie gewijzigd door Limaad op 14 april 2011 11:56]

Tussenoplossing is het niet openen van Word-bestanden die je via e-mail van mensen ontvangt die je niet kent en/of van mensen die je wel kent maar waar je normaal gesproken geen Word-bestanden van ontvangt.

En misschien houden virus-scanners dit tegen?

--edit--
Het niet downloaden van Wordbestanden is natuurlijk geen oplossing.
Nee, maar wel een tussenoplossing. :)

[Reactie gewijzigd door Dlocks op 14 april 2011 12:00]

Wat ik vaak zie, en waar familieleden van mij wel eens wat mee oplopen.:

Dan wordt er zo'n "grappige" presentatie rondgestuurd. Je weet wel, van die flauwe kantoorhumor over "het verschil tussen mannen en vrouwen". Hele afdeling ligt dubbel en o ja, er is een virus naar binnen gesneakt.

Op corporate IT niveau is dat mooi het probleem van beheerders, die virus-updates e.d. up-to-date moeten houden.

Op huishoudelijk IT niveau, is er nauwelijks beginnen aan om uit te leggen dat familieleden GEEN vage word-bestanden moeten openen en moet je maar hopen dat je inrichting met het automatisch ophalen van updates e.d. ook netjes wordt nageleefd en niet door de gebruiker gemold is. (Om door middel van Active Directory policies aan je vader en moeder op te dringen gaat wat ver).

Een andere, maar ook weer wat drastische oplossing, is om als huishoudelijk IT-ondersteuner Ubuntu Linux te installeren.

*zucht*
Of we web-browser standaard in een sandbox laten draaien. Werkt hier prima.
flashblock? en die word-bestanden handmatig downloaden?
Mooi, maar dat smeekt wel om de vraag hoe lang deze kwetsbaarheid al bekend was. Ik hoor toch al een flinke tijd over dergelijke kwetsbaarheden maar ik zal aannemen dat het in die gevallen om andere fouten ging.

Netjes dat het nu gedicht wordt. Ik wordt wel redelijk moe van dit soort ellende. Gelukkig is het vrij simpel te omzeilen door geen onbekende word-documenten te openen wat voor alle tweakers hier toch standaard procedure zou moeten zijn. Wat ik me afvraag is of dit sooft flash-bestanden niet online kunnen worden embed, zodat gebruikers via bijvoorbeeld een www.mlcr0s0ft.com link naar een dergelijke website kunnen worden gebracht en zo worden geïnfecteerd. Daar zouden mensen een stuk sneller vatbaar voor zijn. Zeker als ze verouderde browsers gebruiken die geen sandboxing toepassen.
Iedere word document dat ik niet zelf heb gemaakt en nooi eerder heb geopend is voor mij onbekend. Geen word documenten van anderen openen is denk ik geen optie in de praktijk.
Het is natuurlijk niet zo letterlijk als je het nu schetst bedoelt. Maar als je een word document van iemand toe krijgt gestuurd zonder dat dit vantevoren was afgesproken en zonder enige duidelijke aanleiding zou dit toch enkele belletjes moeten doen rinkelen. Dan zou ik als eerste even contact opnemen met die persoon om te zien of deze ook daadwerkelijk het bestand heeft verstuurd.
Voor veel mensen niet blijkbaar.
En sowieso, je verwacht als 'normale internetter die alle mails leest' niet dat er uberhaupt een virusachtig iets in een word document kan zitten. Dus uit nieuwschierigheid zal die het openen.

dom, maar dat hou je niet tegen.
Jeej ben ik een dag eerder als chromegebruiker :D

Wel raar dat ze het niet tegelijk uitgeven imo... Wel goed dat ze het lek proberen te dichten, gebeurt vaak zat dat ze er niet eens aan beginnen...
Vreemd dat je het moet embedden in Word om gebruik te kunnen maken van de kwetsbaarheid. Is dit dan ook niet een lek in Word?
Ik gok dat Flash geladen wordt via ActiveX. Mogelijk voorkomen strengere beveiligingsinstellingen in Office dat het lek misbruikt kan worden, maar dit is speculatie mijnerzijds.
Is dit dan ook niet een lek in Word?
Dat zou je wel denken. Als het via een browser én stand-alone SWF niet werkt maar dus -volgens het artikel- enkel en alleen in Word dan is het misschien een combinatie van kwestbaarheden?

Offtopic
Vreemd dat je omlaag gemod wordt.

[Reactie gewijzigd door Dlocks op 14 april 2011 11:57]

Oplossing is Active-X Flash player verwijderen, en een andere browser gebruiken zoals Chrome, Firefox of Safari
Chrome heeft als voordeel dat hij zelf zijn Flash update.
Meh, van mij mogen ze eerder die hele zooi uit de deur doen, gister is Chrome 4x in een uur gecrasht, vanwege een niet werkende Shockwave Flash player...
(of ze moeten dat onmiddelijk patchen, anders block ik het gewoon)

@worldcitizen: Ah, mijn fout, maar beide komt van Adobe :P

Gebeurde mij trouwens vroeger nooit, en niets geinstalleerd oid de laatste tijd, dus geen idee waar het aan kan liggen...

[Reactie gewijzigd door ChrissieOne op 14 april 2011 12:02]

Ben bang dat het in dit geval om een probleem aan jouw kant gaat. Ik draai Chrome nu al tijden en crashes met Shockwave Flash komen vrijwel nooit voor, alleen wanneer ik bijvoorbeeld enorm veel players tegelijk open zet en mijn arme laptopje het niet meer aankan.
Volgens mij heeft dat er niets mee te maken. Het gaat om een kwetsbaarheid is Flash.
vanwege een niet werkende Shockwave Flash player...
Shockwave en Flash zijn twee verschillende software producten.

In dit geval gaat het over de Flash player.
Of je gooit chrome eruit en neemt een browser die wel goed met flash overweg kan....
Heb ook dit probleem sinds kort, terwijl ik nooit eerder problemen heb gehad met Flash in Chrome.
Een herinstallatie van Chrome of Flash heeft bij mij iig niet geholpen. Wat heb jij al geprobeerd?

edit: typo

[Reactie gewijzigd door BrutalDave op 14 april 2011 12:39]

Het kan helpen om Flash eerst volledig te verwijderen en dan opnieuw te installeren. Waarom dat soms nodig is weet ik niet, maar ik heb al meerdere malen gelezen dat hierdoor problemen werden opgelost.
Het is gewoon een oud trucje; aan-uit zetten, opnieuw installeren, etc.

In dit geval zou het kunnen komen dat er gewoon verkeerde bestanden tussen staan, kapotte bestanden, verkeerde versies, dependencies die missen/comflicteren, instellingen van andere programma's die herrie schoppen, etc.

Bij herinstalleren wordt dat vrijwel allemaal even opgelost.
Kan iemand een belletje terug in de tijd naar Adobe doen? Vragen of ze de Square beta ook een update willen geven. Ik weet dat het een Beta is, maar het is het enige voorhanden om Flash normaal af te spelen (zonder nspluginwrapper-achtige techniek) op een 64-bit OS. Zou ik graag veilig doen. :)

[Reactie gewijzigd door RSpliet op 14 april 2011 11:50]

64 bit ondersteuning komt in Flash Player 11 dacht ik. Die komt in Q3 2011 uit.
Ik wil geen OS-flamewar starten, maar ik ben wel benieuwd hoe het komt dat het lek in Flash onder Windows veel grotere gevolgen heeft dan exact hetzelfde lek onder andere OSen? Ligt dat puur aan de luiheid van de makers van de exploits omdat ze alleen iets schrijven voor de grootste "gebruikersgroep", of mist Windows een beveiligingslaag om Flash heen die andere OSen wel hebben?
Dat komt omdat Windows totaal anders werkt dan andere OSen
Dit komt omdat Windows, Linux en OSX allemaal volledig anders werken. Het is over het algemeen niet mogelijk om een trojan of virus te schrijven dat op meerdere OSen met een andere structuur werkt.

Omdat Windows verreweg de meeste gebruikers heeft worden dit soort exploits met Windows in gedachte geschreven. Zo werpen ze een zo groot mogelijk net en kunnen ze zo veel mogelijk gebruikers duperen. Daarnaast zijn bijvoorbeeld Linux gebruikers vaak iets tech-savvyer dan de gemiddelde windows-gebruiker (ik probeer ook geen flame war te starten, ik ben ook een windows gebruiker). Deze zullen dus eerder voorzichtig met hun computer omspringen en dus minder snel door dit soort exploits gedupeerd worden, wat het ook minder aantrekkelijk maakt om voor dergelijke platformen te schrijven.
Windows werkt heel anders ja, maar Linux en OSX liggen opzich redelijk dichtbij elkaar.
Op laag niveau wel ja, maar daar zitten de fouten waarschijnlijk niet.
Ik denk dat het probleem zich inderdaad bevind in de grote van de gebruikersgroep. Vooral als er Word voor nodig is, is vrij zonde van je tijd om zoiets te maken voor Linux of MacOS.
heb liever dat de het probleem verhelpen dat sinds 10.2.153.1 computers laat crashen bij het afspelen van een flash filmpje.
Ja, me zusje heeft dat probleem vaak.
Ligt dan waarschijnlijk aan je systeem, want ik heb er geen last van :)
Ik wordt uberhaupt een beetje gek van al die updates van Flash. Het lijkt wel of ze daar niet kunnen programmeren. Bijna dagelijks moet ik updaten. Op mijn iPad mis ik flash totaal niet. Wat mij betreft mag die hele flash en al de hieraan gerelateerde rommel van de IT aardbodem verdwijnen. Niemand zal het missen!

Lets flush Flash !
De miljoenen gebruikers van deze websites denken daar anders over:
http://www.newgrounds.com/
http://www.kongregate.com/

Als jij Flash niet nodig hebt kan je het gewoon deïnstalleren.

[Reactie gewijzigd door Wolfos op 14 april 2011 17:33]

Als hij bijna dagelijks update gaat er iets niet goed bij jou. Niemand zal het missen is ook niet helemaal waar, er is nog zoveel flash content op het web wat in HTML5/JS/CSS3 zeer moelijk te realiseren is (ivm de nu al cross browser problemen).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True