Adobe waarschuwt tegen actief misbruikt lek in Flash Player

Adobe waarschuwt voor een kritiek lek in zijn Flash Player. Hoewel alle versies vatbaar zijn, zouden hackers al actief misbruik maken van het lek via Internet Explorer voor Windows. Gebruikers zouden zo snel als mogelijk moeten updaten.

Hoewel misbruik alleen mogelijk is in Internet Explorer op Windows, adviseert Adobe alle gebruikers van Flash Player op Windows, Mac, Linux en Android zo snel mogelijk de nieuwste update te installeren. Het misbruik is erop gericht om gebruikers te laten klikken op een link in een e-mail. Vervolgens kan een hacker de Flash Player laten crashen en daarna het hele systeem overnemen.

Het lek met als naam CVE-2012-0779 is ontdekt door Microsoft Vulnerability Research en zit in 'object confusion'. De update kan worden opgehaald op de site van Adobe of - in het geval van Android - in de Play Store. Gebruikers van Chrome hoeven niets te doen, omdat in die browser de Flash Player automatisch wordt bijgewerkt.

IT-banen

Reacties (38)

Verwijderd 4 mei 2012 21:20

Het probleem is opgelost in Flash v11.2.202.235

Echter de vorige versie v11.2.202.233 die je al enkele weken terug had moeten installeren, als je om de veiligheid van je systeem geeft, om een ander probleem op te lossen was al voorzien van de nieuwe Flash update mogelijkheid.

Die installeert namelijk een update 'service' voor Flash, die automatisch alles bijwerkt (de standaard geselecteerde installatie optie).

Als je v11.2 dus al had geïnstalleert, dan vervalt het voordeel van Chrome die de plugins ook automatisch bijwerkt op een soortgelijke manier (het is dan een Google service).

Echter In plaats van tig-update services te draaien, maak ik zelf liever gebruik van Secunia PSI, die een waarschuwing gaf en beschikbaarheid van update, voordat de Flash update-service het zelf doorhad (op een ander systeem). Dat is omdat Secunia dichter bij de rapportage van fouten zit dan de fabrikant zelf en gebruikers sneller op de hoogte kan brengen. Op die manier bij uitstek van een update, kan je dan gebruik maken van workarounds (zoals Flash uitschakelen).

Mandrake466 4 mei 2012 20:54

Hoe kan ik de Flash Player updaten? Bij mij staat het op handmatig maar ik kan de Flash Player niet vinden onder Programma's. Ik heb dus Vista 64 bits.

Als ik het wil downloaden (versie 11.2.202.235 ) op de Adobe site lees ik: Note: 64-bits versies van Windows XP en Vista worden niet ondersteund door Flash Player. Flash Player 11 bevat nu ondersteuning voor de 64-bits versie van Windows 7.

Gewoon downloaden?

Verwijderd @Mandrake466 • 4 mei 2012 21:26

Handmatig downloaden:

(32-bit)

• Flash Player Plugin v11.2.202.235 (Firefox, Opera, Chrome, etc)

• Flash Player ActiveX v11.2.202.235 (Internet Explorer)

(64-bit)

• Flash Player Plugin v11.2.202.235 (Firefox, Opera, Chrome, etc)

• Flash Player ActiveX v11.2.202.235 (Internet Explorer)

[Reactie gewijzigd door Verwijderd op 24 juli 2024 16:00]

Pendaco @Verwijderd • 5 mei 2012 15:31

Als die auto-updater nou eens fatsoenlijk zou werken..

Die komt vaak een week later eens met een pop-up om de hoek zetten wanneer je Windows hebt gestart.

Johannes77 4 mei 2012 17:50

Ik denk dat als HTML5 een echte standaard is, het echt wel voltooid verleden tijd is voor Flash. Het is al ongeveer 3 jaar regelmatig ellende om Flash heen. Ik ben geen Apple fanboy, maar over de onveiligheid van Flash had Steve Jobs echt wel gelijk.

A4-tje @Johannes77 • 4 mei 2012 17:52

ik denk dat HTML5 dan dezelfde problemen gaat krijgen qua veiligheid. het blijft gaan om software die door mensen is gemaakt, hiermee is er altijd een beveiligingsgat te ontdekken. zolang de software maar veel wordt gebruikt worden er vanzelf exploits de wereld in geholpen.

Johannes77 @A4-tje • 4 mei 2012 17:59

Klopt, in het begin loopt het allemaal goed, en hoe langer een standaard (broncode, plug-in oid) in gebruik is hoe meer gaten bekend worden. Dat zal met HTML5 niet anders zijn, maar Flash is al dermate gatenkaas geworden dat het een reden is om niet meer te gebruiken, en hoe meer plug-ins hoe hoger het risico...

Ramon @Johannes77 • 4 mei 2012 22:35

HTML5 an sich is een specificatie, de implementatie ervan verschilt per fabrikant. Het kán dat er een bepaalde beveiliging vergeten wordt in de specs maar dat lijkt me erg vergezocht. Je kan dus niet zeggen dat HTML5 lek is, net zoals je nu niet kan zeggen dat JavaScript of HTML4 lek is. Het kan zijn dat straks blijkt dat er een bug in de implementatie van een van de fabrikanten zit, die uitgebuit kan worden, maar dat gebeurt ook al jaren en is niet iets unieks aan HTML5.

Daarnaast is de Flash plug-in al erg oud en in de tijd dat Macromedia (jaja, nostalgie) Flash maakte, was er nog niet zo'n focus op beveiliging als nu is.

[Reactie gewijzigd door Ramon op 24 juli 2024 16:00]

esak @A4-tje • 4 mei 2012 17:56

Ik denk van niet. Hoeveel exploits zijn er de laatste tijd nou ontdekt in Javascript of HTML?

johnbetonschaar @A4-tje • 4 mei 2012 17:59

Het verschil tussen Flash Player en HTML5 is dat als een bepaalde browser keer op keer beveilingslekken bevat, je gewoon kunt kiezen om een andere browser te gebruiken. Bij Flash Player kan dat niet. Komt nog bij dat op Windows en OS X de browser gewoon gezien wordt als onderdeel van het OS, en dus door de fabrikant van beveiligings updates kan worden voorzien, in plaats van dat Microsoft of Apple moeten wachten tot Adobe een keer een fix klaar heeft.

Plugins in browsers zijn gewoon een slecht idee, wat ook door die Flashback Trojan maar weer eens duidelijk is gemaakt, die kwam ook via de Java plugin binnen.

Verwijderd @Johannes77 • 5 mei 2012 03:37

Flash is verre van voltooid verleden tijd. Heb net wat consulting gedaan voor Zynga en die leunen heel sterk op Flash en hebben honderden miljoenen eindgebruikers. HTML5 is geen optie want het is trager, op minder systemen ondersteund, en heeft veel minder professionele tools.

Tegen de tijd dat HTML5 breed toepasbaar is, staat Flash weer een stap verder. De technologie is complementair, en ik zie dat niet snel veranderen.

DJMaze @Verwijderd • 5 mei 2012 11:35

heb je bij je consulting rekening gehouden met het feit dat iedereen steeds mobieler internet via iOS en Android?

Verwijderd @Johannes77 • 4 mei 2012 18:05

Als je flash op je MacBook hebt gaat die de helft minder lang mee op een accu lading wanneer je aan het browsen bent. Triest maar waar..

jabwd 4 mei 2012 19:04

sinds het gezeik met flashback heb ik standaard plugins uitstaan, en met chrome kan je nog eens heel mooi filteren welke websites plugins mogen draaien ook!

Ramon @jabwd • 4 mei 2012 22:40

Niet alleen Chrome kan dat hoor

ResuCigam

4 mei 2012 19:26

Ik snap iets niet: Er staat in het artikel dat Chrome automatisch bijgewerkt wordt maar als ik met Chrome op de Adobe pagina kijk zie ik "You have version 11,1,102,63 installed". Dat is volgens mij een kwetsbare versie? "Adobe released security updates for Adobe Flash Player 11.2.202.233 and earlier versions for Windows" Als ik daarna handmatig de nieuwste versie wil downloaden krijg ik "Uw Google Chrome-browser heeft al een ingebouwde Adobe® Flash® Player. Deze Flash Player wordt automatisch bijgewerkt wanneer er een nieuwe versie beschikbaar komt."

[Reactie gewijzigd door ResuCigam op 24 juli 2024 16:00]

Henk Poley @ResuCigam • 5 mei 2012 00:20

Waarschijnlijk draai je dan ook nog Chrome 17.0.963.79, die is al 6 weken oud. Eens de nieuwste versie downloaden, en je computer checken op enge beestjes.

knakworst @Henk Poley • 5 mei 2012 12:23

Ik draai chrome 19.0.1084.41 beta vanochtend geüpdatet, en flash is blijven steken op 11,1,102,55 (ubuntu 12.04 64 bit). google maakt er dus een potje van. Ubuntu zelf heeft wel netjes geüpdatet naar de nieuwste versie, waar firefox gebruik van maakt.

World Citizen 4 mei 2012 18:37

Het is toch wel duidelijk dat Adobe iets moet gaan ondernemen. Binnenkort komt Adobe met hen versie van een HTML5 editor genaamd "Edge"... hiermee bevestigen ze naar mijn mening het einde van Flash.

Ik ben bv al overgestapt naar Hype . Al is het buggy...

[Reactie gewijzigd door World Citizen op 24 juli 2024 16:00]

The-Priest-NL 4 mei 2012 19:59

@ResuCigam Maar hetzelfde vind ik met de flashplayer binnen IE.

Sinds de nieuwe versie van Flash waar je een auto update mechanisme hebt zou je verwachten dat hij dat dan ook doet.

Bij mij staat hij netjes op "updates automatisch installeren indien beschikbaar" echter zit ik nog wel op 11.2.202.233.

werkt goed die automatische update functie

Verwijderd 5 mei 2012 07:32

Net geprobeerd te updaten maar blijft versie blabla.233 ?!? (Mozilla Firefox)

blorf 5 mei 2012 11:17

De softwaremaker zegt dat het lek kritiek is en dat gebruikers Flash Player op hun pc zo snel mogelijk zouden moeten updaten.

Alweer? Voor mijn gevoel loopt Firefox minstens 1 x per weer te mekkeren dat ie de Flashplayer wil updaten.
Die flash-software wordt een beetje erg opdringerig. Ik twijfel er nogal aan of dat nodig is voor een programma dat alleen maar webbased filmpjes en spelletjes verzorgt.

Volgens mij heeft die flashplayer standaard gewoon teveel rechten op een systeem. In dit geval wordt er malware geinstalleerd nadat de gebruiker op een fake link in een email heeft geklikt. M.a.w: een browser-plugin kan zich dus na 1 klikje van de gebruiker admin-permissies verschaffen en iets op de harde schijf installeren, en aangezien het hier over malware gaat moet dat ook nog eens plaatsvinden in directories waar systeembestanden staan.
Nou ben ik thuis geen Windows/IE-gebruiker, maar een programma dat zoiets probeert is bij mij kansloos als ie het root-wachtwoord niet kent. Daar ligt het volgens mij het probleem.

NVDS 5 mei 2012 11:31

Een handig hulpmiddel om kwetsbare plug-ins of software die door middel van exploits misbruikt kunnen worden, automatisch up to date te houden is Secunia's Personal Software Inspector. De automatische update functie van Adobe zelf voor Flash gebeurt spijtige genoeg niet zo heel frequent. Zodat je toch nog kwetsbaar bent.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: