Grootschalig misbruik van Flash Player-lek
Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen. De kwetsbaarheid werd eerst voor gerichte aanvallen gebruikt, maar wordt inmiddels ook voor aanvallen tegen doorsnee internetgebruikers ingezet. Het bezoeken van een kwaadaardige of gehackte website is voldoende om aanvallers volledige controle over de computer te geven.
Volgens de Shadowserver Foundation, een organisatie die botnets in de gaten houdt, wordt het lek op "een vrij grote schaal" misbruikt. Exploits die het lek misbruiken, zijn inmiddels op tal van legitieme websites verschenen, waaronder verschillende non-gouvernementele organisaties, luchtvaartmaatschappijen, een Koreaanse nieuwssite, een Indiase overheidssite en een Taiwanese Universiteit.
Doelwit
Adobe Flash Player is op 99% van alle op het internet aangesloten computers aanwezig, waarbij het in Europa en de Verenigde Staten zelfs een penetratiegraad van 99,5% heeft. Het is dan ook niet verwonderlijk dat Flash de afgelopen regelmatig het doelwit van aanvallers is geweest. CVE-2011-0609, CVE-2011-0611, CVE-2011-0627, CVE-2011-2107 en CVE-2011-2110 zijn allemaal nummers die naar recente lekken wijzen, waardoor aanvallers toegang tot vertrouwelijke informatie hebben gekregen. Ook voor de aanval op beveiligingsbedrijf RSA werd een lek in Adobe Flash Player gebruikt. Lekken 0609 en 0611 zouden nog steeds op grote schaal voor gerichte aanvallen worden ingezet, ook al is een patch voor deze gaten al enige tijd beschikbaar.
Het nieuwste lek, 2110, is alleen nog via drive-by download-aanvallen misbruikt. "De aanvallers hebben duidelijk hun aanvalsprofiel aan de beschikbare exploit aangepast. Dit is niet nieuw, maar de explosie van de exploit op het web en van zoveel verschillende bronnen is vrij bijzonder", aldus de organisatie. Beveiligingsbedrijf Websense merkt op dat het lek ook voor spear-phishing aanvallen wordt ingezet.
Exploit
De Shadowserver Foundation benadrukt dat het om een "vervelende" exploit gaat, die stiekem in de achtergrond plaatsvindt, zonder de browser te laten crashen. "Als je een gehackte website bezoekt die dit lek misbruikt, zul je waarschijnlijk niets merken. Als je NoScript of soortgelijke plugins draait, zul je misschien een poging zien tot het laden van Flash-bestanden of een verzoek van een third party website, maar daarnaast zul je niets zien."
De exploit misbruikt een lek in de ActionScript Virtual Machine en is in staat om de data execution prevention (DEP) beveiligingsmaatregel in Windows te omzeilen. Is de exploit succesvol, dan wordt er een bestand gedownload en uitgevoerd. In het screenshot en op de pagina van de Shadowserver Foundation staat een overzicht van websites die de exploit bevatten. Adobe Flash Player updaten kan via deze pagina.
Mij viel op dat ik nog best achter bleek te lopen (terwijl alle auto-updates aanstaan).
Erg handige versienummering houden ze er niet op na trouwens.
heb net Adobe Flash Player er uit gegooit
en nu zie ik hier op security.nl update staan, is dit al de laatste nieuwe versie ?? van Adobe Flash Player
m.a.w . Flash Player is zeer onveilig ? Maar er is geen alternative programma , we hebben Flash Player toch nodig .
Of bedoelde je dat niet ?
Als ik me niet vergis was het Ilja. _\\// die in de eerste reactie onder http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html de gebruikers van security.nl wees op deze mogelijkheid (MSIE8).
Meer info voor MSIE8 vind je op deze site (Engelstalig, overzichtelijk met plaatjes): http://www.winhelponline.com/blog/disable-flash-all-but-whitelist-sites-ie8/. Op die pagina wordt ook de gerelateerde registry info getoond. LET OP: het gaat hier om per-user settings! Microsoft info: http://blogs.msdn.com/b/ieinternals/archive/2011/04/02/activex-control-restrictions-in-ie.aspx.
In MSIE9 is deze technologie wat veranderd, zie http://www.winhelponline.com/blog/using-activex-filtering-in-ie9/ en http://blogs.msdn.com/b/ie/archive/2011/02/28/activex-filtering-for-consumers.aspx.
Snel testen of Flash werkt kan hier: http://www.youtube.com/swf_test.html. Bovendien wordt de versie van de geinstalleerde plugin getoond (dat kan ook hier: http://www.adobe.com/software/flash/about/).
Zelf gebruik ik overigens bij voorkeur Firefox met de NoScript en Flashblock plugins om hetzelfde te bereiken. Belangrijk is dan wel dat je in de NoScript Options standaard Flash blokkeert. Als je een website bezoekt en deze voldoende vertrouwt, sta je scripting toe voor die website, Flash objecten veranderen dan in een "afspelen" driehoekje. Je kunt dan kiezen welk flash object je afspeelt. Eventuele (kwaadwillende) Flash objecten van andere sites worden dan geblokkeerd door NoScript.
Is alleen nodig voor sites die niet zonder denken te kunnen bij het ontwerp en dat terwijl de volgende alternatieven voot bewegende beelden voorradig zijn:
* geanimeerde .gif
* JavaScript (ook andere scripttalen als php en een programmeertaaal als Perl volstaan, maar dat is te technisch)
* 'k weet niet hoeveel video-formaten
Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.
...
Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.
Er is een reden dat 99% van de sites met veel video's flash gebruiken ... en dat is om het hotlinken of zeer eenvoudig downloaden van het filmpje tegen te gaan ... en ja .. je hebt ondertussen ook 10tallen websites en programma's / plugins die je toelaten van het filmpje zo te downloaden .. maar daar weten veel gebruikers weinig tot niets van af ...
Elke technologie om het kopieren van dingen tegen te gaan zal gebroken worden ..
het is hier gewoon weer een kwestie van de drempel net iets hoger te leggen dan de 'average-joe' kent/wil gebruiken.
Als jij je al die schitterende youtube filmpjes wilt ontzeggen .. go ahead .. most of us just enjoy it en minimaliseren de risico's .. haal je computer dan meteen ook volledig het internet af, because if you're connected .. you're vulnerable.
Is alleen nodig voor sites die niet zonder denken te kunnen bij het ontwerp en dat terwijl de volgende alternatieven voot bewegende beelden voorradig zijn:
* geanimeerde .gif
* JavaScript (ook andere scripttalen als php en een programmeertaaal als Perl volstaan, maar dat is te technisch)
* 'k weet niet hoeveel video-formaten
Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.
Beste is java en flash van je pc verwijderen, maar ja, dan kan je vaak zelfs niet meer internetbankieren.
Firefox met no script add-on lijkt mij de enige oplossing om enigszins veilig te kunnen surfen.
(beter zou zijn om het oranje/groenje lampje te vervangen door een groot rood zwaailicht met een grote rode knop ernaast met: STOP all network activity! I rest my case...)
Je verwart JavaScript met Java.
Ellendig is dat Adobe Flash Player hoogstens eens per week automatisch checkt op updates. Heeft de geïnstalleerde versie net gecheckt op updates vlak voordat de nieuwe versie uitkwam, dan kan het een week duren voor er opnieuw automatisch op updates wordt gecheckt.
In het geval dat is ingesteld dat maar eens per 14 dagen, 30 dagen, of eens per 60 dagen op updates wordt gecontroleerd, of dat zelfs is ingesteld dat helemaal niet moet worden gewaarschuwd wanneer er updates beschikbaar zijn, dan is de situatie uiteraard nog veel beroerder voor de onwetende gebruiker. De kans dat je dan een keer het haasje bent wordt zo steeds groter.
http://www.macromedia.com/support/documentation/nl/flashplayer/help/settings_manager05.html
Als jij je al die schitterende youtube filmpjes wilt ontzeggen .. go ahead .. most of us just enjoy it en minimaliseren de risico's .. haal je computer dan meteen ook volledig het internet af, because if you're connected .. you're vulnerable.
Als ik me niet vergis was het Ilja. _\\// die in de eerste reactie onder http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html de gebruikers van security.nl wees op deze mogelijkheid (MSIE8).
Als er weer eens een vraag op het forum verschijnt waarbij ik denk "daar is al een eerder onderwerp over geschreven", of ik wil een van mijn ondertussen vele eigen schrijfsels terug vinden, dan laat ik Google met een paar steekwoorden los op security.nl, & meestal komt dan meteen de goede bovendrijven (Sorry Redactie/Webmaster!).
Volgens mij, voor zover ik daar aan heb bij gedragen, bedoelde je deze:
http://www.security.nl/artikel/34131/1/Belangrijke_update_Adobe_Flash_Player.html
Daarin staat ook de link naar Instellingenbeheer, waarmee je de FlashPlayer goed uit zet. OK, per gebruiker, maar je kan daarna de settings.sol gewoon kopieren naar alle andere gebruikers.
Het idee overigens om FlashPlayer alleen toe te staan in de Vertrouwde websites, bevalt me wel, maar om echt functioneel te zijn, moet je daarvoor de ActiveX in de Internet zone, net zoals de Websites met beperkte toegang, op Vragen of Blokkeren instellen.
Echter ramt het er dan in de Intranet & Vertrouwde zone toch dwars doorheen.
Is Instellingenbeheer toch beter, die doet ze allemaal. Ik heb trouwens ondertussen al een paar keer het Instellingen beheer via het Configuratiescherm bekeken, & ben tot de conclusie gekomen dat de On-Line versie toch exacter stuurt.
Ik gebruik trouwens als test http://www.nakamichi.com/nakamichi.swf want als die animatie het doet, is je FlashPlayer, ook al staat alles uit & op nul, goed ingesteld.
Die testlink is trouwens een tip voor de web-beheerders/designers die al die Flashcontent moeten implementeren: De filosofie van Nakamichi om perfectie na te streven bewijst dat Flashcontent ook centraal beheerd serverside prima werkt.
Voor de bandbreedte c.q. transmissie maakt het feitelijk niet uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.