image

Adobe slaat alarm over zeer ernstig Flash-lek

dinsdag 14 september 2010, 09:54 door Redactie, 25 reacties

Amper een week na een zero-day beveiligingslek in Adobe Reader, slaat het bedrijf nu alarm over een kwetsbaarheid in Adobe Flash die hackers actief misbruiken. Flash Player heeft volgens Adobe zelf een marktaandeel van bijna 100%. Dat betekent dat zo goed als iedereen op het internet het risico loopt om geïnfecteerd met malware te raken, ongeacht welke browser men gebruikt.

De kwetsbaarheid is ook aanwezig in Adobe Reader en Acrobat. Is het niet via een drive-by download, dan zouden aanvallers systemen via kwaadaardige PDF-documenten kunnen compromitteren.

Patch
Volgens Adobe wordt het lek actief in het wild misbruikt, maar geldt dat niet voor de aanvalsvector via Adobe Reader en Acrobat. Naast de Windows versie is het lek ook aanwezig in Flash voor Macintosh, Linux, Solaris en Android. Een patch voor de kwetsbare besturingssystemen verschijnt op 27 september. Een update voor Adobe Reader en Acrobat staat voor 4 oktober gepland.

Gebruikers van de PDF-lezers kunnen Microsoft's EMET gebruiken om zich tegen aanvallen te wapenen. Wat gebruikers van Flash moeten of kunnen doen laat Adobe niet weten, waardoor het verwijderen van de plugin de enige optie lijkt.

Reacties (25)
14-09-2010, 10:16 door spatieman
goh, prima patch beleid.
lijkt M$ wel..
14-09-2010, 10:27 door FSF-Moses
Na het lezen van de kop had ik een iets snellere patch verwacht. Naja maar even afwachten en geen 'gekke' sites of fora bezoeken dus.
14-09-2010, 10:27 door Anoniem
en waarom moet het dan weer zo lang duren -.-

nu de mensen het hier ook lezen gaan ze er allemaal misbruik van maken, ze zijn toch nog een paar weken veilig >.<
14-09-2010, 10:36 door jaapd
Ach, flashblock zal me beschermen. Er zijn maar weinig sites waar ik flash ook echt op wil zien.
14-09-2010, 10:44 door Anoniem
Door spatieman: goh, prima patch beleid.
lijkt M$ wel..
Toch knap hoor...zelfs als het over een deodorant gaat weet jij Microsoft nog negatief in je comments te verwerken.
14-09-2010, 10:46 door eXpL0iT.be
Concreet komt het er dus op neer dat iedereen die Adobe Flash draaiende heeft risico loopt, de leverancier heeft hier weet van maar patcht maar binnen +13dagen. Nou, leuk zo... nu ff wachten tot die in Metasploit wordt opgenomen en het feest kan beginnen.
Ronduit ziek maargoed; lang leve NoScript.
14-09-2010, 11:01 door Anoniem
Misschien kan iemand EMET hier tegen testen?
14-09-2010, 11:16 door Anoniem
Door FSF-Moses: Na het lezen van de kop had ik een iets snellere patch verwacht. Naja maar even afwachten en geen 'gekke' sites of fora bezoeken dus.
Wat dacht je van die troep gewoon te deinstalleren en nooit meer om te kijken. De toegevoegde waarde van Flash ligt heel dicht bij 0 en voor Reader zijn voldoende alternatieven.
14-09-2010, 11:44 door Rubber Bug
Door jaapd: Ach, flashblock zal me beschermen. Er zijn maar weinig sites waar ik flash ook echt op wil zien.
Ik gebruik 'm ook. Prima tooltje!
14-09-2010, 11:50 door Anoniem
Steve Jobs was zo gek nog niet toen hij aankondigde dat de iPad zonder Flash geleverd ging worden :-)
14-09-2010, 11:53 door Anoniem
Door Anoniem: [quoteWat dacht je van die troep gewoon te deinstalleren en nooit meer om te kijken. De toegevoegde waarde van Flash ligt heel dicht bij 0

Jij hebt ze niet allemaal op een rijtje. Flash is de meest gebruikte plug-in voor filmpjes (Youtube) en het wordt op grote schaal gebruikt voor web site navigatie.
14-09-2010, 14:30 door [Account Verwijderd]
[Verwijderd]
14-09-2010, 16:03 door Rene V
Door Peter V: Bedankt voor de tip Redactie. Ik heb Flash intussen volledig verwijderd van mijn systeem.

Paranoïde zijn heeft ook zijn grenzen hoor Peter. ;-)
14-09-2010, 16:14 door Maki
Door Anoniem:
Door Anoniem: [quoteWat dacht je van die troep gewoon te deinstalleren en nooit meer om te kijken. De toegevoegde waarde van Flash ligt heel dicht bij 0

Jij hebt ze niet allemaal op een rijtje. Flash is de meest gebruikte plug-in voor filmpjes (Youtube) en het wordt op grote schaal gebruikt voor web site navigatie.
HTML 5 is in opmars en wat is er mis met een plugin gebruiken om die filmpjes te downloaden en ze dan te converteren naar een formaat wat je mediaspeler gewoon kan afspelen? (dwhelper voor firefox, bijvoorbeeld. En VLC kan gewoon .flv afspelen.)

Ik gebruik al maanden geen Flash meer, en ben daar eigenlijk best wel tevreden over.
14-09-2010, 16:27 door Anoniem
@jaapd en bastos: Hoe zeker zijn jullie ervan dat je met Flashblock beschermd bent tegen het genoemde Flash-lek?

"Flashblock is a content-filtering extension for the Mozilla Firefox- and Mozilla Application Suite-based web browsers. Flashblock allows users to prevent page elements, such as HTML object tag Browser plug-ins and advertisements, from being displayed."

"The extension uses XBL and CSS to prevent elements of Silverlight, Java applets, Macromedia Authorware, Adobe Director and Adobe Flash from being displayed. Flashblock does not prevent the elements from being downloaded."

Flashblock download het flash element dus wel, en misschien wordt het (onzichtbaar) ook nog wel uitgevoerd. Plus het feit dat dit tooltje niet beschikbaar is voor IE, dat door een aanzienlijke deel van de internetters gebruikt wordt.

Iemand een betere suggestie, behalve verwijderen van Flash of onbruikbare tools installeren??
14-09-2010, 16:30 door Anoniem
Filmpjes downloaden van de dumpert, converteren en dan afspelen? Wat is dat voor waanzin? Veel plezier met HTML 5 dan.
14-09-2010, 16:32 door Anoniem
Door Maki:
Door Anoniem:
Door Anoniem: [quoteWat dacht je van die troep gewoon te deinstalleren en nooit meer om te kijken. De toegevoegde waarde van Flash ligt heel dicht bij 0

Jij hebt ze niet allemaal op een rijtje. Flash is de meest gebruikte plug-in voor filmpjes (Youtube) en het wordt op grote schaal gebruikt voor web site navigatie.
HTML 5 is in opmars en wat is er mis met een plugin gebruiken om die filmpjes te downloaden en ze dan te converteren naar een formaat wat je mediaspeler gewoon kan afspelen? (dwhelper voor firefox, bijvoorbeeld. En VLC kan gewoon .flv afspelen.)

Ik gebruik al maanden geen Flash meer, en ben daar eigenlijk best wel tevreden over.

HMTL5 moet nog worden afgemaakt, er is niets dat er op wijst dat die foutvrij is. Hoe vaak zie je een download knop bij een flash fimpje? Gebruik je een plug-in voor het download? En die is volkomen veilig? Is de conversie is volkomen veilig, en van VLC is geen exploit bekend?
14-09-2010, 18:05 door Maki
Door Anoniem:
Door Maki:
Door Anoniem:
Door Anoniem: [quoteWat dacht je van die troep gewoon te deinstalleren en nooit meer om te kijken. De toegevoegde waarde van Flash ligt heel dicht bij 0

Jij hebt ze niet allemaal op een rijtje. Flash is de meest gebruikte plug-in voor filmpjes (Youtube) en het wordt op grote schaal gebruikt voor web site navigatie.
HTML 5 is in opmars en wat is er mis met een plugin gebruiken om die filmpjes te downloaden en ze dan te converteren naar een formaat wat je mediaspeler gewoon kan afspelen? (dwhelper voor firefox, bijvoorbeeld. En VLC kan gewoon .flv afspelen.)

Ik gebruik al maanden geen Flash meer, en ben daar eigenlijk best wel tevreden over.

HMTL5 moet nog worden afgemaakt, er is niets dat er op wijst dat die foutvrij is. Hoe vaak zie je een download knop bij een flash fimpje? Gebruik je een plug-in voor het download? En die is volkomen veilig? Is de conversie is volkomen veilig, en van VLC is geen exploit bekend?
Je kan blijkbaar niet lezen, anon. Ja, ik gebruik een plugin.
14-09-2010, 18:18 door [Account Verwijderd]
[Verwijderd]
14-09-2010, 18:23 door Anoniem
Door Peter V:
Door René V:
Door Peter V: Bedankt voor de tip Redactie. Ik heb Flash intussen volledig verwijderd van mijn systeem.

Paranoïde zijn heeft ook zijn grenzen hoor Peter. ;-)
Ooit wel eens van laster gehoord?
Wow, iemand hier heeft een kort lontje.
14-09-2010, 21:06 door U4iA
Door Peter V:
Door René V:
Door Peter V: Bedankt voor de tip Redactie. Ik heb Flash intussen volledig verwijderd van mijn systeem.
Paranoïde zijn heeft ook zijn grenzen hoor Peter. ;-)
Ooit wel eens van laster gehoord?
las·ter de; (m) het opzettelijk aantasten van iems eer en goede naam door smaad
Ik zie het verband niet zo met de opmerking van René, dus leg eens uit...
15-09-2010, 03:56 door Anoniem
Door U4iA:
Door Peter V:
Door René V:
Door Peter V: Bedankt voor de tip Redactie. Ik heb Flash intussen volledig verwijderd van mijn systeem.
Paranoïde zijn heeft ook zijn grenzen hoor Peter. ;-)
Ooit wel eens van laster gehoord?
las·ter de; (m) het opzettelijk aantasten van iems eer en goede naam door smaad
Ik zie het verband niet zo met de opmerking van René, dus leg eens uit...

Laster is smaad met behulp van leugens. Als RV de opzet had de naam van PV aan te tasten, dan is hier inderdaad sprake van laster. Dat moet je gewoon niet doen, vanzelfsprekend.
15-09-2010, 09:09 door Anoniem
Dat het zootje zo lek is als een zeef dat weet onderhand iedereen wel.
Het leuke is dat er voor 64bit versies geen adobe flashplayer beschikbaar is zelfs.
Toch blijven er veel aan dat Adobe hangen, weg met die brol.

http://get.adobe.com/nl/flashplayer/?promoid=BUIGP
16-09-2010, 14:24 door Rene V
Door Anoniem:
Door U4iA:
Door Peter V:
Door René V:
Door Peter V: Bedankt voor de tip Redactie. Ik heb Flash intussen volledig verwijderd van mijn systeem.
Paranoïde zijn heeft ook zijn grenzen hoor Peter. ;-)
Ooit wel eens van laster gehoord?
las·ter de; (m) het opzettelijk aantasten van iems eer en goede naam door smaad
Ik zie het verband niet zo met de opmerking van René, dus leg eens uit...

Laster is smaad met behulp van leugens. Als RV de opzet had de naam van PV aan te tasten, dan is hier inderdaad sprake van laster. Dat moet je gewoon niet doen, vanzelfsprekend.


En wat voor leugen is dan geopperd precies? Ik geef alleen aan dat je ook te paranoïde kunt zijn over bepaalde zaken en dat dit nergens voor nodig is. Voorzichtig zijn, ja prima, ben ik ook voor. Maar ik zie niet de meerwaarde om hier te gaan schrijven dat omdat ergens een lek in zit je de applicatie verwijdert. Indien je dat wil doen, prima, doe het dan gewoon, maar wat hebben we eraan als Peter V gaat zeggen dat ie het verwijderd heeft?
Ik maak me er niet zo'n zorgen over. Ik kijk gewoon uit waar ik heen ga en blokkeer flash content sowieso al via NoScript en bovendien gaat mijn browser via een zandbak. Geen reden om direct een lekke applicatie te verwijderen voor die paar weken tot de patch uitkomt. En weet je, ik voel me er heus niet minder veilig om.
Ik bedoel je gaat toch ook niet zeggen dat wanneer er een kwetsbaarheid wordt ontdekt in Windows welke een aantal weken later op patch dinsdag pas wordt verholpen "Ik heb Windows van mijn computer verwijderd" of "Oké, ik zal tot de patch mijn computer niet meer met het internet verbinden" LOL!! DAT was de achterliggende gedachte van wat ik zei. Niks leugens, en inderdaad heeft Peter V een kort lontje. Boeit mij verder weinig, als hij dát al laster vindt dan lach ik daar smadelijk.. erm... smakelijk.. om! ;-)
Die man heeft totaal geen humor en is me veel te serieus. Bovendien negeert hij de knipoog aan het einde van mijn opmerking wat al aangeeft dat ie het niet zo ontzettend serieus moet nemen.
Kijk, als ik nou gezegd had: "ben je zo bang om gehacked te worden Peter en dat ze erachter komen dat je kinderporno op je pc hebt staan?" , wel dát had wellicht als laster kunnen worden omschreven. Maar aangezien ik dat niet heb gedaan maar gewoon een grapje maakte moet Peter V eens bij zichzelf te rade gaan en even stil blijven staan bij datgene wat hij antwoordde. En niet gelijk met zo'n "zwarte kousen gemeente" opmerking komen. Als hij op basis van wat ik zei mij wil aanklagen wegens laster dan wens ik hem daar ontzettend veel succes mee, lol!!
17-09-2010, 07:38 door Anoniem
Ik surf al zeker een jaar zonder Flash, bevalt prima. Ik gebruikte Flash met name voor Youtube filmpjes, maar door via youtube.com/HTML5 een cookie te zetten krijg ik (bijna) alle filmpjes nu in h.264 of WebM voorgeschoteld. Vergeet ook niet dat door de grote opmars van iPhones en iPads veel sites tegenwoordig 'echte' alternatieve content aanbieden, ipv. alleen een 'download Flash' button te tonen. Overigens heb ik Flash niet alleen vanwege de security geditched, maar ook vanwege de beroerde prestaties op mijn non-Windows laptop. Native h.264 en WebM draaien met slechts 10 à 20% cpu load, terwijl Flash hier makkelijk 50% of meer van maakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.