Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Flash Player security update

08-06-2012, 19:47 door Spiff has left the building, 20 reacties
Er is een security update uitgebracht voor Adobe Flash Player.
Zie:
http://blogs.adobe.com/psirt/2012/06/security-updates-available-for-adobe-flash-player-apsb12-14.html
http://www.adobe.com/support/security/bulletins/apsb12-14.html


Over het updaten:

Wie voor Adobe Flash Player "Updates automatisch installeren" ingesteld heeft staan, de standaardinstelling sinds versie 11.2.202.228, die hoeft in principe geen actie te ondernemen.

Wie graag zelf de update in gang zet, die kan dat doen via de standaard download-pagina voor de online updater,
http://get.adobe.com/flashplayer/

Maar voor wie graag ingewikkeld doet, met een offline installatie, daarvoor is er wat veranderd, namelijk de download-links.
Sinds Adobe Flash Player versie 11.0 was er sprake van aparte 32-bit en 64-bit installatiebestanden.
Sinds versie 11.3 is er nu een gecombineerd installatiebestand voor zowel 32-bit als 64-bit browsers.
De download-links voor de offline uninstaller en installer zijn daarmee weer veranderd:

Adobe Flash Player uninstaller,
voor Windows,
http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe
Bron:
http://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html#main_Download_the_Adobe_Flash_Player_uninstaller

Adobe Flash Player installer,
voor Windows, voor IE,
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe
voor Windows, voor andere browsers dan IE,
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe
Bron:
http://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html#install_in_a_firewall_proxy_server_environment
Reacties (20)
08-06-2012, 23:47 door Bitwiper
Dank! Goed om te weten dat 32 en 64 bit nu in 1 bestand komt.

De nieuwste versie, volgens http://www.adobe.com/software/flash/about/, is trouwens momenteel::
- 11.3.300.257 Windows
- 11.3.300.257 Mac OS X
- 11.2.202.236 Linux
- 11.2.202.223 Solaris:
Alles ongeacht browser.

http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe bestaat (nog) niet, terwijl
http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_32bit.exe de vorige versie (11.2.202.235) downloadt; die file is ca. 4MB groot.

De links die Spiff geeft kloppen:
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe
maar die files zijn wel 9MB groot.
09-06-2012, 00:40 door Spiff has left the building
Door Bitwiper, 23:47 uur: http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe bestaat (nog) niet
Klopt, ik had dat ook al even uitgeprobeerd.
Voorheen functioneerden zowel de fpdownload.adobe.com als de download.macromedia.com adressen,
maar tot het moment dat ik dat eerder vanavond uitprobeerde (en jij ook) functioneerden alleen de download.macromedia.com adressen voor de nieuwe versies.
De download.macromedia.com adressen zijn overigens ook de enige waarvoor ik bij Adobe verwijzingen vind (zie de genoemde bronnen in mijn start-bericht). Dat Adobe alleen download.macromedia.com adressen vermeldt, dat is al geruime tijd zo.
We kunnen wel even in te gaten houden of de fpdownload.adobe.com adressen ook nog opnieuw gebruikt gaan worden.

Door Bitwiper: die files zijn wel 9MB groot.
Doordat het nu installers zijn voor zowel de 32-bit en 64-bit browsers?
En/of mogelijk (tevens) door nieuwe uitbreidingen?
09-06-2012, 13:45 door Anoniem
bedank voor de tip.
auto update van flasplayer staat ingesch.
maar geef nog geen autom update aan
bij deze bedankt v d tip
09-06-2012, 19:27 door Fwiffo
Door Spiff:
Door Bitwiper: die files zijn wel 9MB groot.
Doordat het nu installers zijn voor zowel de 32-bit en 64-bit browsers?
En/of mogelijk (tevens) door nieuwe uitbreidingen?
Volgens mij waren de 64 bit installers al de 32 en 64 bit versie samen. Bij het installeren onder Windows 7 64 bit (na Flash uninstaller) deed Flash het in zowel de 32 bit als de 64 bit versie van IE immers.

Ik haal de Windows installers van Flash altijd via Ubuntu binnen. Dan heb je meteen de volledige versie en geen 'downloader' met een hoop troep erbij (McAfee e.d.).
09-06-2012, 20:20 door Spiff has left the building
Door Fwiffo:
Volgens mij waren de 64 bit installers al de 32 en 64 bit versie samen. Bij het installeren onder Windows 7 64 bit (na Flash uninstaller) deed Flash het in zowel de 32 bit als de 64 bit versie van IE immers.
Ja, daar heb je mogelijk gelijk in, ik dacht er eerder vandaag ook al aan.
Mogelijk is dan simpelweg de aparte 32-bit installer opgegeven.
Dat de 64-bit installer op een 64-bit systeem Flash zowel in de 32-bit als in de 64-bit browsers installeerde, dat wist ik. Maar was de eerdere 64-bit installer ook al geschikt om uit te kunnen voeren op een 32-bit systeem? Ik heb er nooit aan gedacht dat uit te proberen. Maar, áls dat zo was, dan was het niet erg logisch zijn dat Adobe dan nog aparte installers uitgaf. Mogelijk was de eerdere 64-bit installer dan toch nog níet geschikt voor een 32-bit systeem?


Door Fwiffo:
Ik haal de Windows installers van Flash altijd via Ubuntu binnen. Dan heb je meteen de volledige versie en geen 'downloader' met een hoop troep erbij (McAfee e.d.).
De onderste van de door mij en door Bitwiper gegeven adressen zijn uiteraard eveneens voor de schone offline installers, en niet de downloaders voor de online installatie.
De standaard-downloadlink daarboven die noemde ik slechts ter service voor diegenen die die standaard online installatie gemakkelijker vinden. Want niet per se iedereen die hier meeleest heeft behoefte aan de offline update. Vandaar :-)
09-06-2012, 20:37 door Fwiffo
Door Spiff: Dat de 64-bit installer op een 64-bit systeem Flash zowel in de 32-bit als in de 64-bit browsers installeerde, dat wist ik. Maar was de eerdere 64-bit installer ook al geschikt om uit te kunnen voeren op een 32-bit systeem? Ik heb er nooit aan gedacht dat uit te proberen. Maar, áls dat zo was, dan was het niet erg logisch zijn dat Adobe dan nog aparte installers uitgaf. Mogelijk was de eerdere 64-bit installer dan toch nog níet geschikt voor een 32-bit systeem?
Ik denk dat de 64 bit installer ook 64 bit was en dus niet op 32 bit Windows draait (misschien ook wel). Ik heb alle versies nog op mijn computer staan dus ik kan de groottes wel even posten:
4140192 May 5 install_flash_player_32bit.exe
8744608 May 5 install_flash_player_64bit.exe
9821896 Jun 9 install_flash_player.exe
4126880 May 5 install_flash_player_ax_32bit.exe
8769696 May 5 install_flash_player_ax_64bit.exe
9225928 Jun 9 install_flash_player_ax.exe
Er staat mij iets bij van een sandbox. Misschien dat dat de extra megabyte verklaart?
10-06-2012, 00:46 door Ilja. _V V
Bedankt Spiff voor de meldin, & Bitwiper bedankt voor de aanvulling! :-)

Ik vind de nieuwe installatie-interface wel mooier & duidelijker (groter) dan de vorige, bovendien hebben ze het slechte Nederlands ("Me waarschuwen als er een update is") verbeterd. ;-)
10-06-2012, 10:41 door Anoniem
http://helpx.adobe.com/flash-player.html

http://labs.adobe.com/

Laatste versie zou: 11.3.300.257 zijn
10-06-2012, 11:27 door [Account Verwijderd]
[Verwijderd]
10-06-2012, 11:42 door Anoniem
Ik had de de plugin-container.exe van Firefox en Thunderbird beschermd met EMET, maar sinds deze Flash update krijg ik altijd DEP mitigation detected in plugin-container.exe bij afsluiten van Firefox/Thunderbird. :(
10-06-2012, 11:42 door Spiff has left the building
Door Anoniem, za.9-6, 13:45 uur:
auto update van flasplayer staat ingesch.
maar geef nog geen autom update aan
Met 'automatisch updaten' ingeschakeld zijn de meeste Flash Player updates niet alleen automatisch maar tevens 'stil'. De updates vinden plaats zonder dat enige interactie van de gebruiker nodig is. Je ziet dan dus geen notificatie.
Slechts enkele malen per jaar wordt nog wel om toestemming van de gebruiker gevraagd.
Zie:
http://blogs.adobe.com/asset/2012/03/an-update-for-the-flash-player-updater.html
http://www.adobe.com/devnet/flashplayer/articles/background-updater-windows.html
http://helpx.adobe.com/flash-player/kb/flash-player-background-updates.html

Wil je controleren of je Flash Player installatie inmiddels al wel automatisch heeft geupdate, check dat dan in je browser, of via Windows configuratiescherm, of via het overzicht van geïnstalleerde programma's met hun bestandsversies.
10-06-2012, 12:03 door Spiff has left the building
Door unbalanced11:27 uur:
Sinds deze update krijg ik ontelbare meldingen; "flash player 11.3 r300 has stopped working" in firefox.
Je bent beslist de enige niet.
Diverse gebruikers ervaren problemen met de combinatie Firefox 13 en Flash Player 11.3
Onder meer het Firefox Support Forum en Firefox Help zijn er druk mee.

Ik heb tot zover nog geen oplossing gezien, alleen een tijdelijke oplossing,
het tijdelijk uitschakelen van Flash Player's protected mode voor Firefox,
totdat een definitieve oplossing is gevonden:
"How do I disable Flash Player's protected mode for Firefox?"
http://forums.adobe.com/message/4468493
10-06-2012, 12:22 door Spiff has left the building
Door Ilja. _\\//, 00:46 uur:
Ik vind de nieuwe installatie-interface wel mooier & duidelijker (groter) dan de vorige,
bovendien hebben ze het slechte Nederlands ("Me waarschuwen als er een update is") verbeterd.
Ja, bij 11.2 was het "Me waarschuwen wanneer updates beschikbaar zijn", "Notify me when updates are available",
en nu bij 11.3 is het "Waarschuwen voordat updates worden geïnstalleerd", "Notify me when updates are available".
De Engeltalige tekst is hetzelfde gebleven, de Nederlandstalige veranderd.
Alhoewel, voor Apple zie ik voor Flash 11.3 als Engelstalige tekst "Notify me to install updates".

Hmm, ik vind dat die varianten onduidelijkheid opleveren.

"Notify me when updates are available" en "Me waarschuwen wanneer updates beschikbaar zijn" dat zegt waarschuwen wanneer een update beschikbaar is (en vervolgens draag je dan zelf zorg voor downloaden en installeren).

Maar "Notify me to install updates" en vooral "Waarschuwen voordat updates worden geïnstalleerd" dat kan ook best betekenen dat een update al wordt gedownload zonder enige interactie van de gebruiker en dat de gebruiker vervolgens wordt gevraagd toestemming te geven voor installatie.

Een nieuw gecreëerde onduidelijkheid.
10-06-2012, 12:27 door Fwiffo
Door Spiff:
Door unbalanced11:27 uur:
Sinds deze update krijg ik ontelbare meldingen; "flash player 11.3 r300 has stopped working" in firefox.
Je bent beslist de enige niet.
Diverse gebruikers ervaren problemen met de combinatie Firefox 13 en Flash Player 11.3
Onder meer het Firefox Support Forum en Firefox Help zijn er druk mee.
Het is dus zaak de Firefox versie onder Windows niet te updaten. Helaas staat de vorige versie (.235) nog niet op http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

Dit zijn volgens mij de juiste Firefox Flash plugins voor .235. De datum en grootte staan in een eerdere post hierboven:
$ gpg --print-md md5 install_flash_player_??bit.exe
install_flash_player_32bit.exe: E2 25 38 CB BF DD 7B A1 BE A0 97 9F 6F 7B 3D AA
install_flash_player_64bit.exe: 4C 9E 4D B0 79 13 F8 DA 71 9B AF 7F 37 F2 8A 48
$ gpg --print-md sha1 install_flash_player_??bit.exe
install_flash_player_32bit.exe: E841 769D 9479 6524 0B2D 5EA3 2EC6 9F99 74EB D212
install_flash_player_64bit.exe: 8B9D C577 37AD B901 EC8A 163A 7C2F 4B02 665A B1BD
10-06-2012, 12:57 door Spiff has left the building
Door Fwiffo:
Het is dus zaak de Firefox versie onder Windows niet te updaten.
Ik denk niet dat dat zo'n geweldig advies is,
gezien het feit dat Firefox 13 tevens security fixes bevat:

http://www.mozilla.org/security/announce/2012/mfsa2012-34.html
http://www.mozilla.org/security/announce/2012/mfsa2012-40.html

Het tijdelijk uitschakelen van Flash Player's protected mode voor Firefox, zoals genoemd in mijn reactie van 12:03 uur, dat is mogelijk een minder onverstandige tijdelijke optie.

AANVULLING:
Met die twee hierboven vermelde Security Advisories zag ik er nog een aantal over het hoofd.
Nóg twee Critical vulnerabilities ,
twee High,
en een Moderate.
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
10-06-2012, 13:08 door Fwiffo
Door Spiff:
Door Fwiffo:
Het is dus zaak de Firefox versie onder Windows niet te updaten.
Ik denk niet dat dat zo'n geweldig advies is,
gezien het feit dat Firefox 13 tevens security fixes bevat:
Sorry, misverstand. Ik doel natuurlijk op de Firefox versie van de Adobe Flash plugin (die overigens ook lekken oplost, maar die zijn van afgelopen vrijdag pas).

Ik kies liever voor enkele gloednieuwe lekken, dan BSODs. Tenzij je een doelwit bent van Spear Fishing. Dan is het beter om te hacken in de config van Adobe (en dit niet vergeten terug te zetten bij de volgende versie)... of tijdelijk een andere browser te gebruiken.
10-06-2012, 13:34 door Spiff has left the building
Ah, dank je, Fwiffo, ik begrijp het.
Maar of niet updaten van Flash Player wel zo verstandig is, dat is natuurlijk ook maar zeer de vraag.
Mijzelf lijkt het tijdelijk uitschakelen van Flash Player's protected mode voor Firefox de minst slechte keuze te zijn, totdat een definitieve oplossing wordt geboden en Flash Player's protected mode voor Firefox weer ingeschakeld kan worden.
Maar iedereen maakt hiermee uiteraard zelf zijn/haar eigen afwegingen.
10-06-2012, 16:05 door [Account Verwijderd]
[Verwijderd]
13-06-2012, 02:13 door Anoniem
Weer een nieuwe update:
http://blogs.adobe.com/psirt/2012/06/security-update-released-for-coldfusion-9-0-1-and-earlier-apsb12-15.html
13-06-2012, 11:23 door Spiff has left the building
@ Anoniem 02:13 uur,
Um, ja, maar dat betreft Adobe ColdFusion en heeft dus geen relatie met de bovengenoemde Flash Player update, behalve dat ColdFusion eveneens een Adobe product is. Nogal off-topic, wil ik maar zeggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search