image

Adobe gaat Flash Player stilletjes patchen

donderdag 29 maart 2012, 11:28 door Redactie, 26 reacties

De nieuwste versie van Flash Player beschikt over een nieuwe updater die updates stilletjes installeert, wat aanvallen door hackers moet voorkomen. "De nieuwe background update biedt een betere ervaring voor onze klanten en het laat ons sneller op zero-day aanvallen reageren", zegt Adobe's Peleus Uhley. Hij merkt op dat het model erg lijkt op de Google Chrome updater. "Google heeft fantastische successen met deze aanpak geboekt en we hopen dat te evenaren."

Na de installatie van Adobe Flash Player 11.2 krijgen gebruikers de optie om te kiezen voor het automatisch installeren van beveiligingsupdates, het waarschuwen wanneer updates beschikbaar zijn of nooit op updates controleren. De background updater controleert elk uur of er een update beschikbaar is. Als er geen update beschikbaar is, wordt er 24 uur gewacht voordat de updater het opnieuw probeert.

Taakplanner
Hiervoor gebruikt Adobe de Windows Taakplanner, wat voorkomt dat de updater als een background service op de computer draait. Gebruikers met meerdere browsers hoeven die straks niet meer apart te updaten, aangezien de updater elke browser updatet. "Dit lost het probleem van eindgebruikers op dat ze Flash Player voor Internet Explorer apart van de Flash Player voor hun andere open-source browsers moesten updaten", laat Uhley weten.

Hij benadrukt dat Adobe niet belooft dat alle Flash Player updates voortaan volledig stil zijn. "We zullen de beslissing om stil te updaten per geval bekijken." Het kan dan gaan om updates die de standaard instellingen van Flash Player wijzigen, en waarvoor de eindgebruiker zijn toestemming moet geven, ook al heeft hij background updates ingesteld.

Reacties (26)
29-03-2012, 11:31 door 0101
Goed werk! Nu Java nog...
29-03-2012, 11:58 door Anoniem
Verwijderd deze ook de oude versies? Bij Java dien je deze handmatig te verwijderen. http://www.java.com/en/download/faq/remove_olderversions.xml

Of is dit niet van toepassing bij Flash? Alvast bedankt!
29-03-2012, 12:29 door Anoniem
Door Anoniem: Verwijderd deze ook de oude versies? Bij Java dien je deze handmatig te verwijderen. http://www.java.com/en/download/faq/remove_olderversions.xml

Of is dit niet van toepassing bij Flash? Alvast bedankt!

Ja de oude versie wordt ook verwijderd. Tav Java, ook die verwijderd de oudere versies.
Als je met WinXP nog werkt zou het kunnen zijn dat je indd nog handmatig oudere versies moet verwijderen. Dat is
niet altijd het geval.
29-03-2012, 12:33 door Spiff has left the building
Door Anoniem: Verwijderd deze ook de oude versies?
Ja, de Flash Player installatie verwijdert eerst de oude versie.
29-03-2012, 12:40 door Arie
Organizations with managed environments do have the capability to disable the background updater feature through the Flash Player mms.cfg file. Also, those users who want to be notified of updates and do not want to be silently updated can continue to use the existing update mechanism. Lastly, the background updater feature is currently Windows-only for Windows XP and newer operating systems. A Mac version is currently under development.

Gelukkig zeg, ik dacht even dat er 10.000 update-verbindingen naar buiten gingen.
29-03-2012, 13:45 door Fwiffo
Ik durf het voor mijn ouders nog niet aan. Er lijkt nog genoeg ruimte te zijn voor Adobe om McAfee en Adobe Air te pushen met hun flash updates. Sinds ik de updates voor windows via xubuntu binnen haal (4x) is dit de afgelopen tijd eigenlijk altijd wel goed gedaan. Zie dus nog geen voordeel in 'stil updaten'.

Als html5 door zet kan adobe flash samen met java overal vanaf. Tot die tijd blijft het ellendig om up-te-daten. Nu maar hopen dat er niet iets nieuws voor in de plaats komt om de computers van thuis gebruikers permanent lek te maken :-/
29-03-2012, 13:50 door Anoniem
Dank voor de reacties. Ik heb de vraag inzake het verwijderen van de oude versies gesteld omdat ik nog te vaak tegen kom dat er versie 10 java player is geinstalleerd (met bekende kwetsbaarheden) en een versie 11 (met bekende kwetsbaarheden).
29-03-2012, 14:19 door Spiff has left the building
Door Anoniem, 13:50 uur: Dank voor de reacties. Ik heb de vraag inzake het verwijderen van de oude versies gesteld omdat ik nog te vaak tegen kom dat er versie 10 java player is geinstalleerd (met bekende kwetsbaarheden) en een versie 11 (met bekende kwetsbaarheden).
Opvallend.
Want bij de updates na Java JRE 6 update 10 wordt de oude Java installatie verwijderd bij de update.
Zie:
http://www.security.nl/artikel/23426/Sun_verwijdert_eindelijk_oude_Java_installaties.html
http://www.security.nl/artikel/39012/1/Oude_Java-_installatie_bedreigt_Windows-gebruikers.html

Is het wellicht mogelijk dat gebruikers update-verzoeken hebben genegeerd, waardoor oude versies zijn blijven staan?
Zo niet, dan is het mechanisme om oude Java versies te verwijderen onbetrouwbaar.
29-03-2012, 15:20 door Anoniem
Door Fwiffo: Ik durf het voor mijn ouders nog niet aan. Er lijkt nog genoeg ruimte te zijn voor Adobe om McAfee en Adobe Air te pushen met hun flash updates. Sinds ik de updates voor windows via xubuntu binnen haal (4x) is dit de afgelopen tijd eigenlijk altijd wel goed gedaan. Zie dus nog geen voordeel in 'stil updaten'.

Als html5 door zet kan adobe flash samen met java overal vanaf. Tot die tijd blijft het ellendig om up-te-daten. Nu maar hopen dat er niet iets nieuws voor in de plaats komt om de computers van thuis gebruikers permanent lek te maken :-/

Daarom update ik mijn software al een tijdje via Ninite. Gelukkig voor mij wordt het grootste deel van de software die ik gebruik bij Ninite ondersteund. Zouden ze nog steeds CCleaner / Defraggler ondersteunen had ik daarmee alles gehad.
29-03-2012, 15:27 door Spiff has left the building
Off-topic in deze Adobe Flash Player thread,
maar wel belangrijk, en daarom vervolg ik er toch nog even op -

In mijn vorige reactie, om 14:19 uur, betreffende Java JRE, vroeg ik,
"Is het wellicht mogelijk dat gebruikers update-verzoeken hebben genegeerd, waardoor oude versies zijn blijven staan?"

Wat ik me nu aansluitend afvraag:
Anoniem 13:50,
Waar je schreef dat je af en toe tegenkomt dat er nog 'versie 10 of 11 Java player is geinstalleerd', bedoelde je daar wellicht mee Java JRE 6 update 10 of 11?
En was dat dan de énige geïnstalleerde Java versie, of stond er zowel zo'n verouderde versie als tevens een up-to-date Java versie geïnstalleerd?
Was Java JRE 6 update 10 of 11 de énige geïnstalleerde Java versie, dan heeft de gebruiker waarschijnlijk de update-verzoeken genegeerd.
Stond naast Java JRE 6 update 10 of 11 tevens een up-to-date Java versie geïnstalleerd, dán deugt er iets niet met het mechanisme om oude Java versies te verwijderen.
29-03-2012, 15:47 door [Account Verwijderd]
Als ze de Google Toolbar er nou maar niet automatisch bijvoegen...

Bij handmatig updaten moet ik er steeds weer aan denken om dat vervelende vinkje weg te halen. ;-(
29-03-2012, 17:31 door Cybercrimepreventie.com
Het is aan te raden om de gratis Secunia PSI te gebruiken voor alle security updates. Dit is versie specifiek uitgebracht voor thuisgebruik en is een afgeleide van Secunia CSI welke voor de Enterprise Business is ontwikkeld.

http://www.cybercrimepreventie.com/index.php/10-secunia-psi
29-03-2012, 17:35 door Anoniem
Oude Java's hoef je niet meer te verwijderen. Dat gebeurt tegenwoordig automatisch.
29-03-2012, 21:52 door [Account Verwijderd]
[Verwijderd]
29-03-2012, 22:06 door Spiff has left the building
Door joey van hummel: En als je nou niet als admin draait? Lijkt me niet dat die updater UAC gaat omzeilen, dus niet geheel stilletjes. ;)
Ja, dat vroeg ik me ook al af, en Bitwiper ook:
http://www.security.nl/artikel/40915/1/Flash_Player_auto-update.html
30-03-2012, 01:48 door Anoniem
De nieuwste versie van Flash Player beschikt over een
nieuwe updater die updates stilletjes installeert.

is deze dan al uit ?
of komen ze er straks pas mee

zelf gebruik ik nu PSI Personal Secunia Inspector
deze geeft ook adobe updates aan als deze uit is
alleen heb ik die niet op automatisch staan of misschien wel
maar niet altijd automatisch updatet
en had nog niet ge scant voor nieuwe update van adobe als die er zou zijn
maar dit was me vraag
30-03-2012, 10:17 door Zipper306
Door Insider: Als ze de Google Toolbar er nou maar niet automatisch bijvoegen...
(

Daar kun je op wachten.
30-03-2012, 11:26 door Spiff has left the building
Door Anoniem, do.29-3, 17:35 uur: Oude Java's hoef je niet meer te verwijderen. Dat gebeurt tegenwoordig automatisch.
Inderdaad, dat gaven gisteren anderen ook al aan (Anoniem 12:29, Spiff 14:19).
Maar Anoniem 13:50 gaf aan dat die desondanks nog oude Java installaties tegenkomt.
Jammer genoeg heeft hij/zij niet gereageerd op mijn reacties van gisteren 14:19 en 15:27 uur.
30-03-2012, 11:32 door Spiff has left the building
Door Anoniem, 01:48 uur: De nieuwste versie van Flash Player beschikt over een nieuwe updater die updates stilletjes installeert.
is deze dan al uit?
of komen ze er straks pas mee
Die nieuwe updater zit in de huidige nieuwste versie 11.2.202.228 en zal, als allles goed werkt, functioneren bij de vólgende update.
Voor de update van de vorige naar de huidige nieuwste versie 11.2.202.228 had je dus uiteraard nog niks aan dat nieuwe update-mechanisme.
30-03-2012, 11:48 door Spiff has left the building
Door Zipper306:
Door Insider: Als ze de Google Toolbar er nou maar niet automatisch bijvoegen...
Daar kun je op wachten.
Wat bedoel je?
Het aanbieden van de optie de Google Toolbar te installeren?
Dat zal alleen kunnen bij updates waarbij interactie van de gebruiker nodig is en de gebruiker die optie voorgelegd krijgt.
Bij volledig stille updates lijkt dat me niet mogelijk, de Google Toolbar kan/mag uiteraard niet zomaar zonder interactie worden geïnstalleerd, want daarmee zouden Adobe's en Google's reputaties een lelijke knauw krijgen. Wat ik me nog wél kan voorstellen is een popup na installatie die vraagt of je de Google Toolbar wenst te installeren. En dat kan zo verwarrend (misleidend) gebracht worden dat het de gebruiker aanzet tot installatie van die toolbar.

Afwachten maar,
net als op het antwoord op de vraag of het nieuwe auto-update systeem ook werkt wanneer een gebruiker niet als Aministrator maar als Standaardgebruiker is ingelogd.
30-03-2012, 14:07 door Arie
Ik zie dat er een nieuwe service is geïnstalleerd "AdobeFlashPlayerUpdateSvc" door deze laatste update, dus geen extra rechten nodig om in vervolg te updaten, loopt onder Local System. Of ik hier nu echt blij mee bent.... nee niet echt. Startup type Manual.
30-03-2012, 14:11 door Spiff has left the building
Door Arie: Ik zie dat er een nieuwe service is geïnstalleerd "AdobeFlashPlayerUpdateSvc" door deze laatste update, dus geen extra rechten nodig om in vervolg te updaten, loopt onder Local System.
Heeft dat geen enkele bevestiging nodig,
passeert dat UAC onder Vista en Win7 (en Win8) volledig?
30-03-2012, 14:23 door Spiff has left the building
Door Arie: Ik zie dat er een nieuwe service is geïnstalleerd "AdobeFlashPlayerUpdateSvc" door deze laatste update, dus geen extra rechten nodig om in vervolg te updaten, loopt onder Local System.
Door Spiff: Heeft dat geen enkele bevestiging nodig,
passeert dat UAC onder Vista en Win7 (en Win8) volledig?
Hmm, ja,
Computerworld vermeldt:
Like Mozilla's Firefox, which is also working toward silent updates, Flash Player relies on a customized Windows service to automatically install patches without displaying a User Account Control (UAC) prompt in Windows Vista and Windows 7.
http://www.computerworld.com/s/article/9225624/Adobe_streamlines_Flash_Player_updates_by_going_silent
30-03-2012, 14:26 door Arie
Heeft dat geen enkele bevestiging nodig,
passeert dat UAC onder Vista en Win7 (en Win8) volledig?

Het lijkt me dat deze niet door UAC wordt afgevangen, de service heeft Local System rechten gekregen bij de installatie. Via de scheduledtask zal de service waarschijnlijk gestart worden, nog niet kunnen testen want er is nog geen update.

http://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx


Het aanpassen van de Update instelling kan via > Control panel > Flash Player > Tab Advanced
30-03-2012, 15:20 door Anoniem
Maar is het nou verstandig om die update's automatisch te laten doen door Adobe of niet?
30-03-2012, 15:56 door Spiff has left the building
Door Anoniem, 15:20 uur: Maar is het nou verstandig om die update's automatisch te laten doen door Adobe of niet?
Het is verstandig voor dát deel van de gebruikers dat anders mogelijk niet, of pas laat patcht.
Maar wanneer je voorheen zelf al keurig de updates uitvoerde, en je zelf de controle wilt behouden, dan is die stille automatische update nergens voor nodig. In dat geval kun je naar believen wel laten waarschuwen, maar keurig blijven updaten zoals je dat gewend was en zoals je dat prefereert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.