Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Adobe heeft zes kritieke lekken in zijn Flash Player-software gedicht, waaronder een cross site scripting-kwetsbaarheid die in het wild zou zijn misbruikt. Dat Adobe de patch buiten de normale release-cycle uitbracht, bevestigt de ernst van de bugs.

FlashVeel wil Adobe niet over de bugs in Flash Player kwijt, behalve dat het gaat om lekken die de classificatie 'critical' hebben meegekregen: de hoogst mogelijke status. Een van de bugs, door Google ontdekt, is een kwetsbaarheid voor cross site scripting, waarbij externe code in een webpagina kan worden geladen.

De bug zou al in het wild worden misbruikt; gebruikers worden ertoe verleid om op een malafide link in een e-mail te klikken, schrijft Adobe. Waarschijnlijk is dat de reden dat het softwarebedrijf buiten de normale release-cyclus een patch uitbrengt.

Over de andere bugs, waarvan er een door de makers van de Linux-distributie Red Hat is ontdekt, meldt Adobe niets, behalve dat deze crashes kunnen veroorzaken en er mogelijk toe kunnen leiden dat een kwaadwillende toegang krijgt tot het systeem. Om de gaten te dichten, zijn patches uitgebracht voor alle Flash-versies: voor Windows, Linux, Mac OS X, Solaris en Android. Chrome-gebruikers hoeven geen update te installeren, maar kunnen hun browser bijwerken naar de nieuwste versie. Google heeft de nieuwste Flash-versie bij een nieuwe Chrome-release gevoegd.

Moderatie-faq Wijzig weergave

Reacties (56)

Heeft dit te maken met de nieuwe Flash Player 11 of zijn dit fixes op de Flash Player 10?
nieuws: Adobe introduceert Flash Player 11 en AIR 3

EDIT: Zo te lezen zijn deze patches voor Flash Player 10 en lager:
Critical vulnerabilities have been identified in Adobe Flash Player 10.3.183.7 and earlier versions for Windows, Macintosh, Linux and Solaris, and Adobe Flash Player 10.3.186.6 and earlier versions for Android. These vulnerabilities could cause a crash and potentially allow an attacker to take control of the affected system.

There are reports that one of these vulnerabilities (CVE-2011-2444) is being exploited in the wild in active targeted attacks designed to trick the user into clicking on a malicious link delivered in an email message. This universal cross-site scripting issue could be used to take actions on a user's behalf on any website or webmail provider if the user visits a malicious website.

[Reactie gewijzigd door Mavericky op 22 september 2011 13:27]

zo te zien aan het versie nummer betreft dit een update voor 10
Ik blijf het bizar vinden, Flash lijkt meer lekken te hebben dan het gemiddelde besturingssysteem. Ik begin inmiddels het gevoel te krijgen dat zelfs Windows 3.1 veiliger was dan Flash ooit geweest is. Maar ligt dit nu aan Adobe of de butt code die Macromedia destijds geleverd heeft? Misschien wordt het tijd om de stekker uit Flash te trekken, of om het van de grond af opnieuw te bouwen.
Het is al helemaal treurig als je bedenkt dat RIA concurrenten Silverlight en Java bijna geen lekken hebben - die zijn ook vanaf de grond af volgens het boekje opgetrokken als secure managed code platforms. JavaScript/HTML en Flash zijn steeds verder uitgebouwde scripting platforms die inmiddels veel complexere code uitvoeren dan ooit verwacht, en het is niet raar dat deze frameworks vol met exploits zitten. Maar ja...JS/HTML5 en Flash zijn makkelijk en snel, terwijl Silverlight en Java moeilijk en traag zijn. 3x raden wat developers en gebruikers liever hebben...

Het is achteraf gezien echt oerzonde dat de grote spelers (Mozilla/MS/Google/Apple) zich niet wat actiever achter ofwel Silverlight, ofwel Java hebben geschaard en in de browser hebben ingebouwd. Welke van de 2 het ook geworden was, het was allicht beter dan duct-taped rommel die we nu hebben.

[Reactie gewijzigd door Dreamvoid op 22 september 2011 14:33]

Maar ja...JS/HTML5 en Flash zijn makkelijk en snel, terwijl Silverlight en Java moeilijk en traag zijn.
Flash is zeker niet sneller of makkelijker dan Silverlight.
Een gebruiker zal het verschil niet merken, mits hij de betreffende plugins geïnstalleerd heeft.
Voor developers, zoals ik, zou ik zelfs willen stellen dat Silverlight makkelijker is om voor te ontwikkelen, maar dat is wellicht subjectief.
HTML kun je hier totaal niet mee vergelijken, aangezien het geen script- of programmeertaal is.
Daarom ook "JS/HTML" - JS voor de code, HTML voor de opmaak.

Maar het is denk ik niet heel controversieel om te stellen dat coden in ActionScript en JavaScript makkelijker is dan C# (Silverlight) en Java. Niet voor niets zijn er zoveel fans van dit soort scripttalen: het is lekker laagdrempelig.

Ik ben ook fan van Silverlight (en Java), IMO is het de ideale next-gen crossplatform webstandaard (als opvolger van HTML5/JS), maar Microsoft heeft veel te veel vijanden gemaakt en krijgt het er nooit doorheen. En MS zelf weet dat beter dan wie ook, getuige hun plotselinge enthousiasme voor JavaScript in Windows 8.

[Reactie gewijzigd door Dreamvoid op 22 september 2011 15:26]

Silverlight het ideale next-gen crossplatform webstandaard waarom?
Omdat het makkelijker is?
Omdat er meer mensen mee kunnen werken?
Omdat het beter past binnen de internet infrastructuur?
Omdat jij er goed mee overweg kan?

Silverlight heeft hele leuke features, maar is ook gewoon een propertiary plugin die alleen op bepaalde systemen werkt.
HTML5/JS is de toekomst
Vergeet niet dat ook JavaScript is begonnen als proprietary extensie van Netscape. Alles wat nu in HTML zit, was ooit proprietary en non-standaard. Ik denk dat er niet veel discussie over is dat Silverlight en Java technisch nettere, meer secure platforms zijn met een moderne taal en een veel beter track record. Maar als niemand het eens kan worden welk next-gen platform in de browsers wordt ingebakken, dan krijg je een compromis - en dat heet HTML5+CSS+JS, met alle voor (makkelijke taal, lekker snel) en nadelen (security, beperkte taal, vendor-prefixes, overal een andere rendering).

HTML5/JS is inderdaad de toekomst, Silverlight en Java zijn zo goed als dood op de client. Maar of dat zo'n geweldige uitkomst is...

[Reactie gewijzigd door Dreamvoid op 22 september 2011 16:20]

security: de manier waarop de javascript engine wordt geïmplementeerd bepaalt natuurlijk de mate van veiligheid ervan, dus de verantwoordelijkheid van de browser maker.

beperkte taal: wat is er precies beperkt aan javascript? Ik ben namelijk nog nooit een use case tegengekomen waarvan ik dacht: oei oei, dit krijg ik niet voor elkaar in javascript ik heb java nodig.

vendor-prefixes: worden gebruikt bij nog niet definitieve features van html5/css3, die hoef je dus niet te gebruiken en zijn een noodzakelijk kwaad.

overal andere rendering: het verschil in rendering is bij de moderne browsers niet noemenswaardig en zal alleen maar minder worden.

Waarom vind jij Java technisch netter dan Javascript? Deze hoor ik heel vaak maar ik vat hem niet zo goed, is het omdat je in Javascript de mogelijkheid hebt niet-nette code te schrijven? Want dat is toch altijd de verantwoordelijkheid van de developer?

En is de security van Java ook niet afhankelijk van de VM waar deze in draait??
Daarom ook "JS/HTML" - JS voor de code, HTML voor de opmaak.
Dan leef je nog in de negentiger jaren, ik gebruik css voor opmaak :O
Dit vraag ik me ook af. Wellicht dat de oorzaak nog wel bij Macromedia vandaan komt. Nadat het overgenomen is door Adobe is er een jaar na overnamen een flinke security update geweest. Zo moest je opeens een crossdomain gebruiken (wat uiteraard goed is) en zo zijn er nog meer voorbeelden.

Maar aan de andere kant, Actionscript 3 en de nieuwe VM zijn wel volledig door Adobe zelf ontwikkeld. Nu kan het zijn dat door de backward compatibility, deze security issues nog voortbestaan uit het Actionscript 2, wat grotendeels is ontwikkeld door Macromedia.

Ik ben zelf Flex Developer en als ik kijk naar Adobe Air, wat volledig door adobe zelf is gebouwd, dan zijn er daar toch een stuk minder problemen mee naar mijn idee.
Als ik hier zeg dat Flash en eigenlijk Adobe een van grootste plagen van het internet is word ik afgemaakt..
Dit is dus de reden waarom HTML5 zo goed werkt... je hebt er geen aparte software meer voor nodig dus heb je ook minder kans op lekken e.d.
Bedoel je soms dat er nooit kritieke fouten in webbrowsers ontdekt worden? Want webbrowsers zijn toch de software die je gebruikt om HTML5 weer te geven – niet?

Verder, HTML5 staat in zijn kinderschoenen en is door geen enkele webbrowser volledig ondersteunt, hoezo is dit een alternatief voor flash?
Verder, HTML5 staat in zijn kinderschoenen en is door geen enkele webbrowser volledig ondersteunt, hoezo is dit een alternatief voor flash?
Voorbeeld: http://www.stegeman.nl/
Een paar jaar terug zou dit nog in Flash gebouwd worden. Nu maken ze het in platte HTML(5) met CSS. Heeft ook met de iDevices te maken, maar er zijn maar weinig zaken die helemaal niet in HTML kunnen (zelfs Grooveshark (best complex toch?) is nu helemaal HTML5, op het afspeelcomponent (DRM) na).
OT: Flash is en blijft een zorgenkindje op securitygebied. Volgens mij komt dat doordat je met Flash steeds meer kunt doen (denk aan 3D sinds kort) wat weer nieuwe aanvalsvectoren introduceert. Flash is daarbij ook een gewild target omdat vrijwel iedereen het heeft én omdat exploits mogelijk cross-platform en cross-browser werken. Hackers zijn ook liever lui dan moe :).
Vroeger maakte je deze site ook al gewoon in HTML alleen dan gewoon zonder de scrollende wolkjes :P
Vroeger maakte je deze site ook al gewoon in HTML alleen dan gewoon zonder de scrollende wolkjes :P
Ik herinner me anders nog menig website voorzien van animated gif-wallpaper. Liefst met een 8bits jengelmuziekje eronder ;)

Los daarvan; ik denk dat je de 'overgang' van Flash naar o.a. HTML5 ook moet zien als een vorm van digitale evolutie. Net zo goed als dat de programmeertalen door de jaren (lees: decennia) heen ook nog al eens opkwamen en weer in vergetelheid raakten.

Ondanks alle kritiek waar Flash onder te lijden heeft, vond ik het altijd verdomde knap hoe men telkens weer allerlei game-classics enkele jaren na hun release soms compleet in Flash wisten nat te bouwen en zo in een browservenster te laten spelen.
Het is een alternatief in opkomst... En ik zeg niet dat HTML5 geen lekken bevat, maar je hebt minder kans op lekken omdat je niet te maken hebt met software van een tweede partij waar ook fouten gemaakt kunnen worden.
Aan de andere kant heb je weer te maken met veel verschillende browserbouwers die allemaal fouten kunnen maken. Of een html 5 site veiliger is dan flash is dan ook een groot vraagteken. Html 5 lijkt de toekomst maar het blinde enthousiasme hier op tweakers is soms tenenkromend Het is nog lang niet uitontwikkeld en je kan flinke vraagtekens stellen bij het gebruik van javascript als programmeertaal voor ingewikkelder toepassingen. Html 5 moet nog de nodige hobbels overwinnen voordat het serieus een concurrent voor flash is.
Aan de andere kant heb je weer te maken met veel verschillende browserbouwers die allemaal fouten kunnen maken
Wat dus een voordeel is: Het is geen monocultuur. Stel flash heeft een probleem: Alle browsers die Flash hebben, hebben hetzelfde veiiligheidsprobleem. Stel 1 browser heeft een veiligheidsprobleem: Alle andere browsers hebben dat dus niet...
Of een nadeel, ze moeten nu veel meer testen en patchen
Inplaats van dat ze flash zelf patchen, moeten ze nu voor elke browser appart patchen

tis maar hoe je het bekijkt
Dat is echt geen reden om minder fouten te hebben, en je gaat nu een excuse verzinnen 'Het is een alternatief in opkomst...' maar daarvoor zeg je eerst nog dat HTML5 zo goed werkt...

Welke post van je slaat nou nergens op want ze zijn nogal tegenstrijdig, eerst omhemelen en daarna excuses verzinnen als het blijkt dat het toch niet zo goed is :) Klinkt behoorlijk biased...
Dit is dus de reden waarom HTML5 zo goed werkt...
Een onzin opmerking.
Bij HMTL5 heb je dat er 5 (of zelfs meer) browser partijen zijn die de externe iinput parsen en dus ook 5 keer zoveel kans op beveiligingsfouten in de software. Adobe is nu een populair doelwit maar als flahs daalt in populaiteti zal de aandacht van de malware bouwers vanzelf naar die nieuwe nog onverkende mogelijkheden in HTML gaan.
Correct, echter, wij weten al voor welke leverancier van html5 browsers we gaan.
Diegene die zn zaken wel op orde heeft en broncode durft te tonen.

And yes, very much pun intended.
Dat zijn er alsnog meerdere.
Dream on. Zodra HTML5 definitief is komt er iemand met iets nieuws dat niet via HTML5 kan en heb je alsnog plugins nodig. En dat wordt vervolgens gebruikt door een grote site zoals bv youtube zodat je het wel 'moet' gebruiken
Onzin. Die Flash plugin is er om twee redenen gekomen: 1) omdat er nog geen goede standards-body was (W3C) en de browserbouwers ieder een eigen implementatie erop nahielden en 2) omdat Adobe/Macromedia gewoon winst wilde maken.
Dus, als we vandaag merken dat we iets nodig hebben wat nog niet in HTML5 zit, dan voegen we het gewoon toe aan de HTML spec. Niemand gaat er vandaag de dag nog een plugin doorheen geduwd krijgen, al was het maar vanwege de grote diversiteit van clients (tablets, pc's, telefoons enz) en verschillende OS-en. Kost handenvol geld en zelfs dat verzekerd nog geen succes (zie Silverlight).
Dit is dus de reden waarom HTML5 zo goed werkt... je hebt er geen aparte software meer voor nodig dus heb je ook minder kans op lekken e.d.
Dat is helaas een utopie. De benodigde codes moeten nog steeds aanwezig zijn. Als browser 1 een codec mist, dan zul je toch nog altijd een fallback moeten bouwen (als je wil dat iedere browser de content kan zien natuurlijk). En laat het nu net zo zijn dat in HTML5 niet echt vastligt welke codecs er allemaal moeten werken, waardoor het uiteindelijk nog steeds zo is dat je naar de grootste gemene deler moet kijken, en dat is waarschijnlijk nog steeds flash.
Je kunt voor HTML video een aantal alternatieve bronnen opgeven. Als de eerste niet afgespeelt kan worden door bijv. een onbekend formaat, dan wordt automatisch de tweede geprobeerd. Dan de derde. etc.

Je hoeft dus helemaal niet te kijken naar 1 grootste gemene deler.
Je hoeft dus helemaal niet te kijken naar 1 grootste gemene deler.
Dat klopt, het HOEFT niet. Maar als ik een website bouw, en ik kan er voor kiezen 1 player te gebruiken die werkt bij laat zeggen 90% van de gebruikers, of ik moet 3 players gebruiken die ieder zo'n 30% van de gebruikers kan voorzien. In beide gevallen kan ik een even groot deel van de gebruikers mijn content laten zien, maar bij de 2e mogelijkheid moet ik 3x zoveel werk doen. in plaats van 1 player moet ik er 3 maken, onderhouden, updaten etc etc.

In zo'n geval wordt er dus gewoon gekozen voor iets dat overal werkt.
Fijn dat Chrome dit dan weer vanzelf bijwerkt voor de gebruiker. Een goede zet in een wereld waar de gemiddelde gebruiker gepaard met het zeggen van ""alweer zo'n stomme update" de pop-ups wegklikt. Tenminste, zo zie ik er maar al te veel. Respect voor dit soort service, daar kan MS nog het een en ander van leren wat betreft de vele gebruikers van oude IE versies.

Toch jammer dat Adobe dan weer niets los wil laten over de andere lekken. Ben ik de enige die een beetje moe word van stealth fixes, of dit soort fixes waarbij wat er nou eigenlijk aan de hand is ergens in het midden gelaten word? :?

[Reactie gewijzigd door Auroram op 22 september 2011 13:44]

Ik heb anders voor Chrome geen update geïnstalleerd sinds een paar dagen, en hij werkt ook niets bij als ik op ''Over Chrome'' klik. Is de update al een paar dagen uit dan?
Je hoeft Chrome niet handmatig te updaten. Dit doet het standaard op de achtergrond, en uit zichzelf. Dat is het mooie ervan. :)
Dus het kan ook helemaal automatisch en vanzelf stuk. Om nog maar niet te spreken over eventuele phone-home mechanismes. Feitelijk ongeschikt voor veel bedrijfsomgevingen dus. Elk voordeel heeft z'n nadeel, zei een filosoof ooit al.
Het was al eerder bekend dat Flash player zo lek was als een mandje. Dit is tevens de reden één van de redenen geweest dat telefoonboeren zoals Apple de ondersteuning voor flash weigert.

[Reactie gewijzigd door Fjerpje op 22 september 2011 14:45]

Het was al eerder bekend dat Flash player zo lek was als een mandje. Dit is tevens de reden één van de redenen geweest dat telefoonboeren zoals Apple de ondersteuning voor flash weigert.
Waarom ondersteunt zo wat elke andere telefoonboer wel Flash? En moest iOS niet zo lek zijn als een mandje zou er geen jailbreak bestaan.
iOS is zeker zo lek als een mandje, daarom werkt jailbreak ook alleen na het uploaden van gehackte firmware naar je toestel via een kabel. Dat is echt een enorm risico.

Verder, andere merken ondersteunen wel flash, omdat ze liever troep verkopen aan klanten die denken flash nodig te hebben. Zo wordt er wel meer onveilig spul verkocht.

Voetnoot, de pdf exploit op iOS was wel zorgelijk, maar daar was ook meteen een fix voor in de Cydia store, dus na een JB ben je weer secure.

De code execution bug die in Flash zit, tsja, daar kan je zonder kabeltje of andere zaken dus gewoon alles mee uitvoeren op iemands teveel, dus per definitie, apple had gelijk en alle devices met flash zijn out of the box al bricked.
Hoezo is iOS zo lek als een mandje? iOS is zo veilig als maar kan zolang je niet gaat jailbreaken is er niets aan de hand...

Je houdt/hebt altijd mensen die een Iphone gaan jailbreaken en daarna gaan klagen dat iOS slecht functioneert... Zolang jij geen wiel van een Mercedes SLR afdraait, rijdt ie gewoon perfect hoor.

[Reactie gewijzigd door Fjerpje op 22 september 2011 16:25]

Als je Powerpulse zijn reactie verder had afgelezen dan had je gezien dat zijn eerste zin sarcastisch bedoelt was.

Persoonlijk ben ik het met Powerpulse eens; Apple en andere bedrijven hebben en zullen er goed aan doen Flash uit te faseren / direct te blokkeren. One size fitts all. (HTML5)
Was meer bedoeld voor de persoon erboven... Trouwens zeer eens met jou reactie...
En waarom blokkeren ze PDFjes dan niet, die kunnen/konden zelfs gebruikt worden om je iPhone te jailbraiken :+
De reden? Ik dacht toch dat dat in hoofdzaak de performance en batterijduur was, in combinatie met het gesloten karakter. Maar het zal vast ook wel meegespeeld hebben.
Ik zag vanmorgen op mijn laptop alleen een update voor CS5 voorbijkomen en niet voor Flash?

Gisteren had ik wel een update voor Flash op mijn telefoon (Android).
:O flash?
Was dat niet iets van vroeger toen op het web nog gesloten plugins werden gebruikt voor het weergeven van content?
Uhhm... Flash zie je ook vandaag nog op bijna iedere website. Zo ook hier op tweakers.net.
troll alert (of domme hipster die denkt dat html5 in elk opzicht de bom is en flash al ruimschoots heeft verdreven)

[Reactie gewijzigd door Aham brahmasmi op 22 september 2011 14:08]

Ongeacht wat je van html5 denkt, staat ook voor mij wel vast dat flash beperkingen heeft en relatief zwaar is/het makkelijk maakt topzware toepassingen te schrijven. Niet voor niets dat men er bij mobiel gebruik wat sceptisch over is.

Dat neemt niet weg dat flash momenteel nog erg populair is, en kikker81 dus inderdaad een beetje lijkt te trollen.
Ik trol inderdaad een beetje, sorry, heb helemaal niks met dat hele flash, heb er altijd in ontwikkeld en ontwikkel er zelfs nog steeds in (interne applicatie die in IE6 bij een bank moet draaien) maar zou ik hetzelfde in javascript/html5 mogen ontwikkelen was ik in de helft van de tijd klaar geweest met de helft van de code.
Je zult mij dus niet horen klagen als ik geen aanvragen meer binnenkrijg voor een "flash website" ook al verdubbel ik standaard het uurtarief om het leed voor mij wat te verzachten en niet te veel aanvragen op dat gebied binnen te krijgen.
Ik blijf het ook vreemd vinden dat mensen een site willen laten bouwen en dan de techniek specificeren inplaats van het eindresultaat. Ik zou je groot gelijk geven als je je uurtarief verdubbelt voor dingen die de klant persé zo wil maar die jij anders zou doen.

Over banken en flash gesproken... De ING heeft een mooie redelijk efficiente telebanksite (oude postbanksysteem). Behalve dan opeens het vernieuwde beleggingengedeelte. Dat is in flash dus werkt niet overal en doet er bovendien even over om alles te laden. Terwijl de functionaliteit nou echt niet opzienbarend is.
Klopt ook , maar html5 heeft nu nog meer beperkingen.
Is het raar dat ik op het eerste gezicht: ''Adobe KIT kritieke lekken in Flash Player'' las?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True