Adobe dicht zero day-lek in Flash

Adobe heeft een beveiligingslek in zijn Flash Player-software gedicht. Het lek, dat volgens Adobe actief werd misbruikt, stelde kwaadwillenden in staat om namens een gebruiker handelingen op andere websites uit te voeren.

Flash Het beveiligingsprobleem maakte cross site scripting mogelijk, waardoor een Flash-bestand op een bepaalde url handelingen op andere websites kon verrichten. In theorie is het daardoor mogelijk geweest om bijvoorbeeld via webmaildiensten e-mails van internetters te stelen, al is niet duidelijk of het beveiligingsprobleem ook op die manier is misbruikt.

Wel geeft Adobe aan dat het heeft vernomen dat er exploits in het wild zijn gesignaleerd. Kwaadwillenden zouden gebruikers e-mails hebben gestuurd met links naar sites die het lek misbruikten. Adobe heeft patches uitgebracht voor Windows-, Macintosh-, Linux- en Solaris-versies van zijn software; gebruikers van Android kunnen ergens deze week een beveiligingsupdate verwachten.

In april dichtte Adobe ook al een kritiek beveiligingsprobleem in Flash Player. Ook dat probleem werd actief misbruikt: aanvallers verspreidden e-mails met Word-bestanden waarin een besmet Flash-bestand was ingesloten. Op die manier konden ze toegang krijgen tot de computers van gebruikers.

IT-banen

Reacties (44)

DJMaze 6 juni 2011 12:01

Voor 64bit linux/osx/windows is er nog geen fix: http://labs.adobe.com/downloads/flashplayer10_square.html

The Zep Man

Privacy
Browsers
Netwerk en systeembeheer
Beveiliging

@DJMaze • 6 juni 2011 12:49

Voor 64bit linux/osx/windows is er nog geen fix: http://labs.adobe.com/downloads/flashplayer10_square.html

Nu is dat een preview en hoef je niet te verwachten dat die up-to-date wordt gehouden. Voor de x64 versies van Windows maakt dit niet veel uit: een 32-bit browser en Flash plugin zijn zo geïnstalleerd, volledig transparant voor de gebruiker.

Linux is het wel een probleem: 64-bit distributies maken gebruik van 64-bit browsers, waarvoor alleen nog de preview-versie beschikbaar is. Een 32-bit browser kan vaak wel geïnstalleerd worden, maar echt gebruiksvriendelijk is het niet.

Het wordt tijd dat Adobe de ontwikkeling van de 32-bit en 64-bit versies van Flash gelijk trekt.

[edit]
Een meer actuele 64-bit build van Flash (mei 2011) kan hier opgehaald worden. Deze heeft waarschijnlijk nog niet de fix voor het lek welke in het artikel omschreven wordt. Het enige dat 64-bit gebruikers kunnen doen is Adobe Labs in de gaten houden.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 13:34]

freaky @The Zep Man • 6 juni 2011 17:15

Dat de meeste gebruikers te lam/lui/onwetend/onwillend zijn om een 32 bit browser te installeren voor flash (ja voor flash, de rest van de plugins doet het hier allemaal prima in 64 bit ook java, al jaren...) neemt niet weg dat je op linux prima en makkelijk een 32 bit browser kunt installeren.

Verder is er nog nsplugin-wrapper, al is dat meestal nog brakker dan die rotte square preview. Die in het begin overigens nog redelijk veel werdt bijgewerkt maar nu al weer 6+ maanden plat ligt qua (zichtbare) ontwikkeling. FYI met nsplugin-wrapper kun je 32 bit plugins in de 64 bit browser laden.

edit:
Blijkbaar toch nieuwere 64 bit flash in die incubator link van je

PS op windows is IE 32-bit meestal nog steeds de standaard browser. Echt transparant voor de gemiddelde eindgebruiker kan ik het overigens niet noemen dat IE 64 ineens geen flash doet terwijl als ze op die andere link (IE 32 bit) het wel werkt. Eindgebruikers volgen dat over het algemeen niet.

edit:

Ik heb die incubator link van je geprobeerd, maar uh, waar is die 64 bit versie dan?

Kan maar 1 linux link vinden, die vraagt niet om 32/64 bit en de enige .so rapporteert:

libflashplayer.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, stripped

Das vrij duidelijk...

[Reactie gewijzigd door freaky op 26 juli 2024 13:34]

Sorcix @freaky • 6 juni 2011 18:54

Het is meer dan een browser natuurlijk. Ik werk op een puur 64bit systeem, geen enkele 32 bit applicatie draait hier. Voor die browser zou ik dus ook een hele serie 32bit libraries moeten installeren. (Wat compleet onnodig is, want de 64 bit versies van dezelfde libraries staan er al!)

Op windows is het dan misschien de gewoonte van alles dubbel te installeren, maar de meeste linux gebruikers houden daar niet zo van.

freaky @Sorcix • 6 juni 2011 20:05

Wat is er onnodig aan? Een 32 bit binary kan gewoon niet met een 64 bit library overweg. Dat is echt geen rocket science.

Wordt er idd ook niet goed van dat windows graag zoveel installeert (laatste kale 2008 server installatie + updates die ik deed (nog geen roles) zat ergens tussen de 18-20G, dat vind ik behoorlijk absurd).

Maar dan nog, beetje package manager neemt ze allemaal voor je mee en als je de 32 bit browser verwijdert zou ie ook moeten zien dat die dependencies niet meer nodig zijn (goed moet je mss een extra commando uitvoeren voor het opruimen van de deps, maar het zal nog steeds stukken beter/sneller gaan dan op windows alle 32 bit binaries en libs d'r uit proberen te slopen

ZpAz

Adobe

@DJMaze • 6 juni 2011 14:45

Is er ondertussen al een 64bits versie voor OSX dan? Toen Safari 5 uitkwam iig nog niet. Immers hadden ze toen hun plugin systeem overhoop gehaald zodat een 32 bits plugin (flash) in een 64bits browser kon draaien.

TimVdE @ZpAz • 6 juni 2011 14:57

Als ik het goed heb, is OS X sinds Snow Leopard zowat volledig 64 bit (en enkel 64 bit, that is). Er draaien natuurlijk nog 32 bit apps in (zoals dat in elk ander besturingssysteem ook kan), maar de core is omgezet.

ZpAz

Adobe

@TimVdE • 6 juni 2011 15:05

Klopt, maar flash was dat nog niet.

Dreamvoid @TimVdE • 6 juni 2011 16:24

Safari is sinds Snow Leopard wel 64-bit geworden, maar bv iTunes en QuickTime zijn nog steeds 32-bit. Safari plugins kunnen wel gewoon 32-bit blijven overigens.

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 13:34]

freaky @TimVdE • 6 juni 2011 17:29

De core wordt meestal als eerste omgezet. Het is vrij lastig om 64 bit apps in een 32 bit kernel te draaien

thek @DJMaze • 6 juni 2011 12:56

Ik heb deze versie nooit werkend gekregen. Als ik hem installeer en vervolgens de brower IE9 start kan ik geen flash afspelen.

Rob Coops

Beveiliging

6 juni 2011 12:14

Dan vraag ik me toch af als jij een email krijgt met een linkje van een onbekende afzender wat gaat er dan mis in de boven kamer dat je er op klikt? Als het van een persoon is die je kent waarom dan niet even de moeite nemen dit in bijvoorbeeld een virtual machine dan wel een sandbox omgeving te openen?

Daar naast een andere vraag, waarom kan Adobe Flash niet eens fatsoenlijk testen. Natuurlijk is het een nog al grote code base en zijn er aardig wat onderdelen die eventueel voor serieuze problemen kunnen zorgen. Maar toch zo'n fout lijkt me toch redelijk duidelijk en het zou me niets verbazen als minimaal 1 van de Adobe programmeurs zich nu af vraagt waarom men niet naar hem/haar luisterde toen hij/zij aangaf dat hier een ernstig probleem was dat niet kon wachten tot de volgende release.
Software heeft altijd bugs en het is nu eenmaal niet mogelijk om alle fouten te vinden dat is helemaal waar maar dit soort dingen lijkt me dat je toch juist naar zoekt in zo wel de code als de uiteindelijke software.

Alfredo @Rob Coops • 6 juni 2011 13:18

Daar naast een andere vraag, waarom kan Adobe Flash niet eens fatsoenlijk testen.

Ik vermoed dat dat deels te maken heeft met alle legacy-code die zich in Flash Player bevindt. Code die geschreven werd in AS1, voor FP5, ziet er nog steeds identiek hetzelfde uit in FP11. Indien er dus bugs zaten in ActionScript Virtual Machine v1, zorgt Adobe ervoor dat die er in de huidige releases nog steeds inzitten. En alle renderbugs uit FP2 zijn nu ook nog steeds aanwezig. Want er zijn mogelijk mensen die projecten hebben welke "afhankelijk" zijn van deze bugs. Adobe wilt niet dat nieuwe releases de oude applicaties van mensen breken. Daar slagen ze bij mijn weten goed in, maar uiteraard hangen daar ook nadelen aan vast.
Het is dus niet onbedenkelijk dat deze bug al meerdere jaren aanwezig was in een stukje legacy-code en nu pas ontdekt wordt. En vermits deze code normaal gezien niet wordt aangeraakt door Adobe, zal daar waarschijnlijk ook niet meer actief naar bugs worden gezocht.

ThunderBird.

@Rob Coops • 6 juni 2011 12:26

Veel tweakers hier zullen inderdaad mails die ze niet vertrouwen in een virtuele omgeving openen. Maar er zijn veel mensen die dat niet doen. Omdat zij niet bewust zijn van de kans dat een bekende virussen verstuurd. Ik ken genoeg mensen als er een email van familie binnenkomt dat deze gewoon ge opent word. Die gaan niet even in een virtuele omgeving kijken of de mail wel veilig is. Daar doelen deze virus verstuurders op.

Dat er iets mis is in je bovenkamer ben ik niet met je eens, wel als een mail van een onbekende met document word geopend.

Waarom adobe dit lek niet eerder gevonden heeft, de zelfde reden als dat er veel meer bedrijven deze fouten maken. Je hebt altijd andere nodig die niet werkzaam zijn bij het bedrijf om deze fouten aan te tonen. Dit geld voor alles. Men denkt dat het veilig genoeg is of zien het over het hoofd, iemand anders misbruikt het of merkt het op, het lek word nieuws dan volgt de fix.

Het zal in de toekomst niet anders gaan.

Zpottr @Rob Coops • 6 juni 2011 12:38

Dan vraag ik me toch af als jij een email krijgt met een linkje van een onbekende afzender wat gaat er dan mis in de boven kamer dat je er op klikt?

Het is niet zo moeilijk grote hoeveelheden mails te sturen en daarbij een afzender te gebruiken die bekend is bij een groot deel van de geadresseerden (vanaf geinfecteerde PC's, of op basis van mailberichten met veel adressen in de to: of cc:). En zelfs als ej dat niet doet zijn er mogelijkheden te over - veel mensen beseffen niet dat het klikken van een link gevaarlijk kan zijn, en geloven bovendien dat een vermelde afzender (ING, Politie, etc.) echt is. 90%+ van de gebruikers zijn niet van het type tweaker he.

Als het van een persoon is die je kent waarom dan niet even de moeite nemen dit in bijvoorbeeld een virtual machine dan wel een sandbox omgeving te openen?

Welk percentage van de Flash-gebruikers denk je dat ook maar een flauw idee heeft waar je het over hebt? En welk percentage van dat percentage zou daartoe in staat zijn? En welk percentage van dàt percentage gaat die moeite nemen bij het kliken van een link in een mail van een bekende? Anders gezegd: doe je dit echt zelf met links in berichten (niet alleen mail) van bekenden? Kom nou.

[Reactie gewijzigd door Zpottr op 26 juli 2024 13:34]

freaky @Rob Coops • 6 juni 2011 17:36

Misschien omdat ze niet iedereen kennen bij bedrijf X waar ze zaken mee doen.

Ik ontvang in ieder geval geregelt valide e-mail van mensen die ik niet ken. Zo vreemd is dat niet.

Bovendien betalen veel mensen aardig wat geld voor UTM's, virusscanners, spamfilters en andere ellende. Ze gaan er dan enigszins van uit dat ze dan ook gewoon kunnen werken, zonder tientallen omwegen.

Het is gewoon niet houdbaar meer. Een windows PC van 3 jaar oud is niet meer vooruit te schoppen met een virusscanner. Naai de virusscanner er af en hij is hardstikke snel. Zo'n 2 jaar geleden meldde trend micro me al dat ze 1500 nieuwe definites per dag schreven. Ik betwijfel dat ik wil weten hoeveel het er nu zijn. Als het in dit tempo door gaat is een virusscanner op je werkplek draaien het einde van je productiviteit binnen enkele jaren.

Thomson 6 juni 2011 12:06

Hoe zit dat nu met Chrome. Chrome heeft toch een embedded (sandboxed) Flash player? Moet Chrome nu zelf een update uitbrengen of wordt deze interne versie ook onmiddellijk geupdate?

praseodymium @Thomson • 6 juni 2011 12:15

Google heeft een een aantal uur geleden al een update uitgebracht voor Chrome:
http://googlechromereleases.blogspot.com/

yobikap @praseodymium • 6 juni 2011 12:53

Dit geldt alleen voor de dev versie van Chrome en nog NIET de normale versie.

Thomson @yobikap • 6 juni 2011 13:19

Blijkbaar wel. Er staan 3 entries in de door praseodymium aangehaalde releaseblog.

http://googlechromereleas...table-channel-update.html

Wel netjes dat ze zo snel een nieuwe versie uitbrengen!

freaky @Thomson • 6 juni 2011 17:31

Err ja, want voor 0-day exploits circuleren nl. altijd binnen 5 minuten exploits.

Wij weten niet hoe 'snel' het is. Veel bedrijven rapporteren niet bepaald wanneer ze een melding ontvangen over een lek en doen dat ook liever niet (afgezien van dat het potentieele aanvallers attendeert op het probleem laten fixes vaak ook rustig 3-4 maanden op zich wachten omdat het test processen door moet e.d.).

Wolfos 6 juni 2011 12:24

Hoe update je Flash player dan in Android? Mij lijkt het weer iets dat per telefoon door de developer geupdate moet worden (wat dus nooit gaat gebeuren voor toestellen van ouder dan een jaar).

Jeroennl @Wolfos • 6 juni 2011 12:26

Binnen android kun je auto-update aanzetten op een App in de Market . Flash bevindt zich gewoon in de Market en kan dus automatisch of handmatig geupdate worden.

[Reactie gewijzigd door Jeroennl op 26 juli 2024 13:34]

!null 6 juni 2011 12:01

Zo blijkt maar weer dat iedere plugin / addon toch weer een extra risico vormt. En persoonlijk heb ik flash nooit heel erg nuttig gevonden. Leuk, dat wel.
Laten we het lekker simpel houden, ook beter te beveiligen. Ik hoop dat we minder nut hebben voor flash met HTML 5.

Dreamvoid @!null • 6 juni 2011 12:59

HTML5 is in principe niet meer of minder een risico dan plugins, het is hetzelfde principe: de browser draait script code waarvan niemand vooraf weet wat het doet. De enige veilige manier is JavaScript uitzetten, maar ja...dan werken zo weinig sites meer.

[Reactie gewijzigd door Dreamvoid op 26 juli 2024 13:34]

!null @Dreamvoid • 6 juni 2011 13:08

Zoals ik hierboven zeg, het gaat me vooral om het (hopelijk) niet meer nodig hebben van Flash waardoor je weer een plugin armer bent (en dus ook minder risico).

ath92 @!null • 6 juni 2011 13:22

Maar zoals hierboven al wordt gezegd, zorgt het uitschakelen van een plugin niet voor minder risico.

spellcoder

@ath92 • 6 juni 2011 14:49

@ath92: Dus je wil zeggen dat als je Flash uitschakeld je nog steeds last hebt van het zero-day lek in Flash

?
Een (ik vermoed groot) deel van de security issues zijn implementatie specifiek. Dus in het geval van HTML5 zal het vaak aan de specifieke browser liggen, tenzij het om wat zelfzamere issues gaat zoals het opvragen van de kleur van een link, waardoor je vroeger via Javascript kon zien dat een bepaalde pagina ooit bezocht was door de bezoeker van je site.
In het geval van Flash is een lek te exploited bij elke browser, omdat vrijwel iedereen dezelfde Flash implementatie gebruikt.

Elke nieuwe code leverd natuurlijk de kans op nieuwe exploits. Maar HTML5 krijg je ingebouwd in je browser. Flash daarintegen krijg of installeer je er nog eens extra bij. En elke laag of plugin in het systeem leverd weer extra features of code-fouten die misbruikt kunnen worden. En als je je browser update maar niet je Flash plugin zullen de 'HTML5 fouten' wel weggaan, maar die van Flash niet. (daarom waarschuwd Firefox ook al je Flash versie verouderd is).

Een plugin uitschakelen geeft wel degelijk minder kans op security risks... Maar het uitschakelen van alle Firefox addons ook. Of je gebruikt helemaal geen browser

[Reactie gewijzigd door spellcoder op 26 juli 2024 13:34]

ZpAz

Adobe

@ath92 • 6 juni 2011 14:44

Jawel, want met plugin is het en 'risico in HTML 5' en 'risico in Flash'. Zonder Flash is het alleen nog maar 'risico in HTML5'. Minder risico dus.

edit: Ongewenst? Hij had een +3 en een lading +2's met een onjuiste reactie, en dit verbeteren is ongewenst?

[Reactie gewijzigd door ZpAz op 26 juli 2024 13:34]

IStealYourGun @!null • 6 juni 2011 12:56

Zeer naïef om te denken dat browsers met HTML 5 ondersteuning bug/exploit vrij zijn. HTML5 is zeer uitgebreid en er bestaan nu al exploits die er gebruik van maken. Het grote verschil tussen Adobe Flash en HTML 5 is dat het laatste afhankelijk is van de browser. Een exploit onder Firefox zal meestal enkel beperkt blijven tot Firefox.

!null @IStealYourGun • 6 juni 2011 13:07

Ik denk niet dat HTML 5 bugvrij zal zijn. Het zou echter kunnen betekenen dat we flash niet meer nodig hebben (voor zover dat niet al het geval is) wat het weer veiliger zou maken, toch weer minder risico.

Goderic @!null • 6 juni 2011 16:03

Als je iets potentieel onveiligs (flash) vervangt door iets anders potentieel onveiligs heb je exact evenveel risico...

freaky @Goderic • 6 juni 2011 17:09

Dat valt nog te bezien.

Wat is onveiliger? 180 in een oude eend of in een Audi RS6. Zolang je frontaal tegen een muur aan rijdt zal het niet heel erg uitmaken, maar als je nog een stukje remweg hebt wel een hele hoop.

Flash staat nou niet bepaald bekend om z'n goede coding technieken...

Bovendien draait flash in alle browsers en maakt ze dus allemaal in 1 keer lek. Bovendien is het nog crossplatform ook zo te zien (gezien windows, mac, linux, android allemaal een nieuwe versie krijgen).

LOTG 6 juni 2011 12:02

In theorie is het daardoor mogelijk geweest om bijvoorbeeld via webmaildiensten e-mails van internetters te stelen, al is niet duidelijk of het beveiligingsprobleem ook op die manier is misbruikt.

Kwaadwillenden zouden gebruikers e-mails hebben gestuurd met links naar sites die het lek misbruikten

Is dit niet een beetje tegenstrijdig? Dit geeft toch aan dat het wel zo is?

watercoolertje @LOTG • 6 juni 2011 12:08

Nee helemaal niet, alinea 1 geeft aan dat het mogelijk is om email te jatten, maar dat is gewoon een voorbeeld, er kunnen nog 100.000 andere dingen gebeuren namelijk!

Alinea 2 geeft aan dat er 1 of meerdere van die 100.000 andere dingen wel zijn misbruikt. De aanvaller heeft zelf emails lopen verzenden (dus niet via het gat in Flash), met een flash file die dus iets deed van die 100.000 dingen

Niks tegenstrijdigs aan, vergelijkbaar met:
Ik houd niet van reizen buiten Europa, maar ik ga morgen wel op reis

[Reactie gewijzigd door watercoolertje op 26 juli 2024 13:34]

Verwijderd 6 juni 2011 13:06

Ik ben ervan overtuigd dat updates van Flash veel computers niet zullen bereiken, omdat mensen geen flauw idee hebben van het bestaan ervan. Zelfs m'n eigen werkgever update Flash niet. Daar zitten ze nog op 10.0. Het is een tikkende tijdbom.

Thomson @Verwijderd • 6 juni 2011 13:21

Zal wel zoiets als dit zijn

zalazar 6 juni 2011 21:52

Ik vraag me nog steeds af waarom Adobe je allerlei software opdringt als je alleen maar de flash player wilt hebben.
Als je even niet oplet krijg je er gratis een Google Toolbar bij.
De Adobe Download manager wordt echter altijd geinstalleerd.
Een losse download link is op de site nergens te vinden maar deze is er gelukkig wel.
Firefox
http://fpdownload.adobe.c.../install_flash_player.exe

IE (ax = ActiveX)
http://fpdownload.adobe.c...stall_flash_player_ax.exe

Updaten kan door de exe te downloaden en nogmaals het installatie proces te volgen.

Mizgala28 6 juni 2011 12:16

Ik gebruik Opera en ik gebruik geen flash (dus ik zie die irritante reclames ook niet

).

Voor Youtube gebruik ik HTML5, simpel en effectief en de meeste video's zijn ook al in HTML5 op Youtube.

Helaas niet overal is dat het geval...

SMGGM @Mizgala28 • 6 juni 2011 12:24

Opera heeft standaard de mogelijkheid om Flash automatisch te blokkeren tenzij je er op klikt. Dit zou je kunnen gebruiken als Flash echt nodig is voor bv YouTube.
Praktisch alle filmpjes zijn beschikbaar in HTML5 op YouTube, alleen sommige partners (zoals VEVO). In HTML5 krijg je immers nog geen reclame te zien en sommige partners stellen dat op als eis. Ook annotaties zijn niet mogelijk in YouTube en dat is vooral de reden waarom ik HTML5 nog niet rap Flash zie vervangen op YouTube.

Sir_Eleet @SMGGM • 6 juni 2011 15:06

Alleen jammer dat je dat niet per website kan instellen zoals veel andere dingen bij Opera. Op youtube vind ik het eerder handig: wanneer ik enkele video links openklik (open in background) beginnen ze dan niet meteen door elkaar te spelen

Exe-cuter @SMGGM • 6 juni 2011 12:32

Sinds vorige week zie ik ook af en toe reclame met de HTML5 player. Hopelijk volgt VEVO dus ook snel met het ondersteunen van dit formaat.

Verwijderd 6 juni 2011 16:47

Flash is helaas nog steeds dode code

Op dit item kan niet meer gereageerd worden.

Adobe dicht zero day-lek in Flash

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: