Advies: gebruik https://www.adobe.com/products/flash/about/ in plaats van de door Redactie opgegeven http link om te checken welke versie van Flash player je gebruikt.

Op dit moment (05-02-2015, 10:50) heb ik nog geen downloadbare updates van Flash Player kunnen vinden (https://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_16_plugin.exe en https://fpdownload.adobe.com/get/flashplayer/current/licensing/win/install_flash_player_16_plugin.exe geven nog versie 16.0.0.296).

Aanvullingen 06-02-2015, 16:03:
- Zie https://www.security.nl/posting/417483#posting417501 waarin Spiff URL's voor installers (exe-files) met momenteel versie 16.0.0.305 noemt voor directe download, zodat je handmatig kunt updaten.
- Zie https://www.security.nl/posting/417483#posting417610 waarin ik beschrijf waarom het openen van https://www.adobe.com/products/flash/about/ soms, en in sommige webbrowsers, ertoe leidt dat de browser overschakelt naar http. Opvallend is dat daaropvolgende verzoeken voor https://www.adobe.com/products/flash/about/ in dezelfde webbrowser wel https lijken te blijven.

Het lijkt erop dat de 16.0.0.305 Flash Player noodpatch (voorlopig) alleen via de slecht werkende autoupdate wordt uitgerold.

De Flash player Distribution pagina kent hem nog niet. Zie: http://www.adobe.com/nl/products/flashplayer/distribution3.html

De Flash Player About versie controle pagina komt ook niet veel verder. Zie: http://www.adobe.com/software/flash/about/

Maar als je op laatst genoemde pagina doorklikt krijg je plots wel 16.0.0.305 voor je neus, maar dan wel met die vervelende bijwerkingen zoals McAfee Security Scan Plus.

In SCUP is 16.0.0.305 al beschikbaar, met een verwijzing naar de volgende link:
http://helpx.adobe.com/security/products/flash-player/apsb15-04.html

Alleen deze link geeft nog geen informatie? Het gaat wel erg vreemd de laatste paar updates bij Adobe.

Flash Player 16.0.0.305 wordt nu aangeboden via:
https://get.adobe.com/flashplayer/, zoals B3am ook al aangaf,
en inmiddels worden ook de offline installers aangeboden, via:
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html
--> https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
--> https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe
--> https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe
N.B. De http-URL's zijn aangepast naar https-URL's

Edit:
Aangevuld met de PPAPI plugin for Opera and Chromium-based browsers.
Google Chrome werkt zoals bekend de ingebouwde Flash-plugin automatisch bij.
Maar voor Opera geldt dat niet, zo las ik hier:
http://www.gratissoftwaresite.nl/flash-automatisch-updaten-controleer-versie-npapi-ppapi-activex-tip
Daarom ook de download link voor de offline installer voor de PPAPI plugin vermeld.

Ik ben benieuwd welke webbrowser je gebruikt. Bij Firefox ESR (v31.4.0) gebeurt dit niet, zelfs niet als ik de "https everywhere" en NoScript plugins uitschakel. Wel is het zo dat genoemde webpage ook active content via http probeert op te halen (o.a. http://wwwimages.adobe.com/uber/js/pdc_s_code.js) maar by default blokkeert Firefox dat. Wel toont Firefox om die reden een een grijs/wit schildje (links van het slotje).

Aanvulling 14:01: in MSIE 11 werkt dit ook. Wel krijg ik onderaan een balk met "Only secure content is displayed" met de optie om ook http content op te halen (maar dat doe ik natuurlijk niet).

De reden van mijn advies is dat, in elk geval Firefox, html en active content via https ophaalt. Dat betekent dat een eventuele aanvaller met netwerktoegang (hoe klein die kans ook is) geen flash malware kan meesturen.

Die heb ik eind van de ochtend geïnstalleerd (en uitgezocht hoe dit werkt, waar je delta's kunt downloaden en reverse engineered hoe je uit die delta een executable updater haalt).

Sindsdien werkt Flash niet meer in MSIE 11 (in "Manage add-ons" -> "Toolbars and extensions" met "Show" = "Run without permission" zie ik dat Flash 16.0.0.305 is geïnstalleerd, en er zijn verder geen blokkades actief). Die versie werkt wel in Firefox. Aanvulling 14:01: na de binaries waar Spiff naar verwijst te hebben gedownload en gedraaid, werkt Flash weer wel in MSIE 11.

@Spiff: dank voor het melden!

https://www.adobe.com/products/flash/about/ vermeldt nu ook dat 16.0.0.305 de laatste versie is.

https://browsercheck.qualys.com/?scan_type=js is ook helemaal tevreden met 16.0.0.305!

Het kan aan mij liggen maar als ik via: https://www.adobe.com/nl/products/flashplayer/distribution3.html de EXE voor Windows plugin-based browsers ophaal dan is dat toch echt nog steeds versie 16.0.0.296 en niet zoals daarboven staat 16.0.0.305.

Jep, versie van 23 januari. Die pagina loopt vaak een dag of wat achter bij de auto-downloads :(

Oude versies 16.0.0.296 (via http of https):
https://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_16_plugin.exe
https://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_16_active_x.exe
https://fpdownload.adobe.com/get/flashplayer/current/licensing/win/install_flash_player_16_plugin.exe
https://fpdownload.adobe.com/get/flashplayer/current/licensing/win/install_flash_player_16_active_x.exe

Actuele versies 16.0.0.305, via http of https (met dank aan Spiff!):
https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe

Got it! Pffff. Wat een manier om een update uit te rollen...

Bedankt Erik, Spiff en alle anderen.

Mac Safari Firefox link direct (httpS)

https://get.adobe.com/flashplayer/download/?installer=FP_16_Mac_for_Safari_and_Firefox_-_NPAPI&standalone=1

NoScript toestaan

- Temporary allow : get.adobe.com
- Temporary Alow : wwwimages2.adobe.com

- Wat je kan weigeren in NoScript is de : fonts.adobe.com

Wat ook kan is direct updaten vanuit, in stapjes; "System Preferences" , "Flash Player", "Advanced", "Check Now" .
Wat voor Mac je hebt doet er verder niet toe, zolang het maar een Intel Mac is * (Geen PPC) en minimaal Snow Leopard 10.6 draait.


* Dit is de officiële opgave

Mac OS
Intel Core™ Duo 1.83GHz or faster processor
Mac OS X v10.6, or later
Safari 5.0 or later, Mozilla Firefox 17, Google Chrome, or Opera 11
512MB of RAM; 128MB of graphics memory

Bizar. Als jij (of iemand anders met een Mac) met Wireshark overweg kunt, ben ik benieuwd of en welk componenten van die pagina via https worden opgehaald.

Zelf heb ik "https everywhere" (https://www.eff.org/https-everywhere/) geïnstalleerd zodat ik sites, waarvan bekend is dat ze naast http ook https ondersteunen, zoveel mogelijk via https bekijk. Voorbeeld: als ik nu op een link als http://en.wikipedia.org/wiki/U_7 klik, verandert de https-everywhere plugin dit in https voordat Firefox met internet communiceert.

Wat een drama is die Flashplayer. Op cvedetails.com staat dat de flashplayer nu 391 openstaande security vulnerabilites heeft. Ik vraag me af welke andere voorwaarden gelden voor kwetsbaarheid, zoals bijvoorbeeld het gebruikte OS. Weet iemand een overzicht dat daar meer zicht op geeft?

De adobe flash-plugin versie op mijn favoriete OS is op het ogenblik 11.2.202.442, maar ik weet niet of -laten we zeggen- de ING vindt dat ik mijn PC goed onderhoud volgens de hun normen voor internetbankieren. Komt ook wel een beetje omdat mijn favoriete OS stelselmatig wordt genegeerd op websites als die van de ING.

De verleiding om te denken "mijn favoriete OS heeft geen last van die Flash vulnerabilities" is groot, maar is dat terecht?

Je bedoelt dit, neem ik aan:
http://www.cvedetails.com/product/6761/Adobe-Flash-Player.html?vendor_id=53
http://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6761/Adobe-Flash-Player.html
Dat is een opsomming van alle kwetsbaarheden in Adobe Flash Player sinds 2005.
Niet een weergave van nog openstaande kwetsbaarheden.

Niet om lullig te zijn maar hoezo 'slecht werkende autoupdate'? Hier (zojuist gechecked) is de nieuwste versie van Adobe Flash keurig via die 'slecht werkende autoupdate' keurig geinstalleerd, net zoals al die voorgaande versies.

Als ik kijk naar hoe de autoupdate hier in zijn werk gaat, dan wordt hier vol-auto-magisch elk uur gechecked of er een nieuwe update beschikbaar is. Kun je terug vinden in je Scheduled Task Mangaer. Misschien dat daar iets fout staat of in zijn geheel ontbreekt?

Deze pagina heeft nu ook de laatste versie.

NEE !! NedFox heeft gelijk en mcb kletst maar wat. Net (20:42) geprobeerd. Op de pagina staat wel dat het de .305 versie is, maar wat binnen komt is echt de oude .296. Adobe, Adobe.

De update voor Adobe Flash Player voor IE11 op Windows 8.1 inmiddels ook kunnen downloaden via Windows update.

Als ik de https link open in IE11 die jij geeft in je reactie, kom ik uiteindelijk ook op een http pagina uit in plaats van de https pagina.

Nou hij staat gewoon in de Task Scheduler, maar die updates lopen bij mij echt niet lekker en als ik de reacties op dit forum bekijk ben ik niet de enige.

Los van het feit dat Adobe nu 3 noodpatches in korte tijd moet uitbrengen, hebben ze de distributie dus gewoon niet goed voor elkaar. Als ik op een webpagina kom waar duidelijk staat dat het over 16.0.0.305 gaat en ik download en installeer dat ding handmatig en het blijkt dus toch de oude versie te zijn dan vind ik dat heel kwalijk. Maar het is wellicht tekenend voor de eindcontrole van Adobe...

Op mijn Android smartphone met Firefox (zonder plugins) zag ik dat ook. Daarna, in een nieuw aangemaakt test-account in W7-64 ging ook MSIE11 van https naar http. Firefox (zonder plugins) in dat account bleef bij https.

Ik ben wat gaan debuggen: onderin https://www.adobe.com/products/flash/about/ is te zien dat die pagina deels is voorbereid op https, bijvoorbeeld:


Maar de ontwikkelaars van Adobe realiseren zich kennelijk niet dat het laden van active content via http vanuit een https pagina allang not done is. Een stukje boven bovengenoemde code staat:


Geen enkele zichzelf respecterende webbrowser zal, vanuit een https pagina, Javascript laden via http. Met als gevolg dat de variabele "s" undefined is. Zo treden er nog veel meer fouten op.

Vreemd werd het toen ik (in de MSIE 11 debugger, bereikbaar via F12 functietoets) het stoppen (breakpoints) bij excepties uitzette en de sessie door liet lopen: toen bleef de URL met https beginnen.

Nog vreemder werd het daarna: als ik MSIE11 sluit, weer start en weer naar https://www.adobe.com/products/flash/about/ ga, blijft de verbinding https. Sterker, als ik het profiel van dat test account weggooi en weer aanmaak (door in te loggen), MSIE "voor de 1e keer" start en naar https://www.adobe.com/products/flash/about/ ga, blijft het https...

Conclusie: de website van Adobe reageert onvoorspelbaar door programmeerfouten. Daarmee is zij net zo brak als sommige van Adobe's andere producten - in elk geval (PDF) Reader en de (ooit van/met Macromedia overgenomen) Shockwave Flash browser plugins.

Aanvulling 14:44: het lijkt om een timing issue te gaan die optreedt als 1 of meer van de files nog niet in de browser cache zitten. Zowel onder Android met Firefox, als Win7-64 met MSIE (deze laatste met een testaccount met verwijderd profile), zie ik bij de eerste verbinding naar https://www.adobe.com/products/flash/about/ een terugval naar http. Als ik dan nogmaals naar https://www.adobe.com/products/flash/about/ ga (bijv. door in de URL balk http in https te wijzigen en op Enter te drukken), dan blijft de verbinding wel https.

GRAPJAS!
Ik heb de download geinstalleerd en daarna de versie gecontroleerd voordat ik mijn bericht plaatste.
Echt wel dat versie .305 is geinstalleerd. (anders plaats ik dit natuurlijk niet)

Ik denk dat jij beter even naar je eigen systeem moet kijken.

Ik heb zonet via https://www.adobe.com/nl/products/flashplayer/distribution3.html
de exe installer voor Internet Explorer (install_flash_player_16_active_x.exe)
en de exe installer voor Windows plugin-based browsers (install_flash_player_16_plugin.exe) even gedownload.
Ik heb ze niet geïnstalleerd, dus ik kan niet zeggen welke versie ze installeren, maar wel kan ik zien dat de bestandsversie-vermelding 16.0.0.296 is, en niet 16.0.0.305.
Als die installers niettemin correct 16.0.0.305 installeren, dan is de de bestandsversie-vermelding 16.0.0.296 onjuist. Dat is dan nogal slordig van Adobe.

De offline installers gedownload via de download-links zoals ik die gisteren hier vermeldde,
https://www.security.nl/posting/417483#posting417501,
die hebben wél correct de bestandsversie-vermelding 16.0.0.305.

N.B.
Aanvulling, 16:53 uur:
Het bleek zo te zijn dat via https://www.adobe.com/nl/products/flashplayer/distribution3.html
de correcte nieuwe versie 16.0.0.305 MSI-installers werden aangeboden,
maar nog de oude versie 16.0.0.296 EXE-installers.
Zie ook:
https://www.security.nl/posting/417483#posting417631
en https://www.security.nl/posting/417483#posting417632

De digitale handtekeningen (timestamped door "Symantec Time Stamping Services") zijn:
v16.0.0.296: 23 January, 2015 22:xx
v16.0.0.305: 03 February, 2015 01:xx

Het lijkt me uiterst onwaarschijnlijk dat een installer met de oude timestamp toch al versie 16.0.0.305 zou bevatten en kunnen installeren.

Bovendien kun je rustig een oudere installers draaien. Als ik nu (met *.305 geïnstalleerd) een installer voor v16.0.0.296 draai krijg ik als foutmelding:

Als ik de laatste installer (v16.0.0.305) draai, kan ik die gewoon installeren. Ik vermoed dat dit kan om een defecte installatie te kunnen repareren (iets waar ik gisteren gebruik van heb gemaakt).

Aanvulling 15:51: sorry voor de vraagtekens die in de timestamps stonden (dat waren onzichtbare karakters in de Authenticode dialogbox en zijn meegekomen met copy+paste), ik heb ze nu verwijderd.

Dat lijkt mij ook.
(Sorry, ik had er niet aan gedacht de timestamps te checken.)

En dan lijkt mijn voorzichtige suggestie van 13:05 uur (https://www.security.nl/posting/417483#posting417616) dat de EXE installers gedownload via https://www.adobe.com/nl/products/flashplayer/distribution3.html misschien een onjuiste bestandsversie-vermelding 16.0.0.296 hebben en gezien mcb's ervaring mogelijk versie 16.0.0.305 installeren niet correct te zijn.

Ik ben erg benieuwd welke installer mcb precies heeft gebruikt.
Wat dat een MSI-installer, misschien, of een DMG-installer?
Anders dan de EXE-installers blijken de MSI-installers die aangeboden worden via https://www.adobe.com/nl/products/flashplayer/distribution3.html wél correct de 3 februari timestamp te hebben!
(N.B. De DMG-installers hebben geen digitale ondertekening, dus daarvan is geen timestamp te checken.)
Ik vermoed nu dat mcb een MSI-installer heeft gebruikt.

Tsja, dit laat weer eens zien hoe belangrijk details wel zijn.
In dit geval het verschil tussen een EXE- en MSI-installer.

Heel vaag.
Ik had gisteren de msi gedownload vanaf https://www.adobe.com/nl/products/flashplayer/distribution3.html.
De digitale handtekeningen is van 3.02.2015 en de versie weergeven in zowel controlpanel\programs als op https://www.adobe.com/products/flash/about zijn beide .305.
Ik kan me niet voorstellen dat de MSI wel de juiste versie is en de EXE niet.

/EDIT
Was het vorige bericht nog aan het tikken toen jij een nieuwe postte.
De MSI dus.
Zou adobe dan toch de fout te hebben gemaakt door de MSI wel te updaten en de EXE niet?
Dat is helemaal slordig.

Toch is dat het geval, blijkbaar.
Zie mijn voorgaande reactie, https://www.security.nl/posting/417483#posting417631

Op https://www.adobe.com/nl/products/flashplayer/distribution3.html worden momenteel de correcte MSI-installers aangeboden, maar de oude EXE-installers.

Ik denk van wel, en inderdaad.

In plaats van anderen een grapjas te noemen kan mcb beter vertellen welke installer hij heeft. Mischien toch op een andere link geklikt dan" https://www.adobe.com/nl/products/flashplayer/distribution3.html"?

Net (15:38) nog even geprobeerd (dus via "https://www.adobe.com/nl/products/flashplayer/distribution3.") en de versie .296, de .exe versie voor niet IE browsers, komt binnen en installeert zoals ook te verwachten was, versie .296 Flash Player op het systeem.

Van Spiff (in alle respect en nog bedankt voor de juiste links) begrijp ik niet dat die niet even geprobeerd heeft de player te installeren i.p.v. veronderstellingen te uiten. ("The proof of the pudding is ...")

De afmetingen van versie .296 en .305 zijn ook anders.

Je hebt gelijk, en wie slaat een lekkere pudding nou af, maar gezien het feit dat je met Flash Player de laatste tijd toch al aan het deïnstalleren en herinstalleren blijft, had ik weinig zin om die genoemde installers te gaan installeren en weer te gaan deïnstalleren. Momenteel zijn mijn systemen Flash Player vrij en dat houd ik eventjes zo. Tenminste tot wellicht de volgende versie komende dinsdag(?) en misschien wel langer.
Ik vond dat in dit geval mijn voorzetje voldoende moest zijn en mcb vervolgens wellicht duidelijkheid kon geven - wat die ook deed.
Buiten dat, Eriks slimme aanpak van het bekijken van de digitale ondertekening en timestamp maakte het onnodig die installers te checken door ze te installeren, denk ik.

Zie mcb's reactie van 15:40 uur, https://www.security.nl/posting/417483#posting417632

@aan mcb
Sorry dat ik zei dat je maar wat kletste, maar dat is natuurlijk wel allemaal de schuld van Adobe om op dezelfde pagina nieuwe en verouderde versies door elkaar aan te bieden. ("That sure escalated quickly").
Fijn dat het raadsel nu opgelost is.

@Erik van Straten 06-02-2015 12:14 uur

Bedankt voor de informatie. Naar mijn idee is https://www.adobe.com/products/flash/about/ maar een ingewikkelde webpagina hoor. Helaas had ik zelf maar weinig tijd om te gaan testen via het F12-ontwikelaarshulpprogramma's in IE11.

Helaas dat FlashPlayer bij Windows 8.1 in IE11 zit ingebakken anders had ik FlashPlayer al lang verwijderd nu kan in hem alleen via invoegtoepassingen uitschakelen.

Ik heb automatische update van Adobe dus de laatste versie (305) maar dat is van de regen in de drup belanden. Van af en toe bevriezen en crashen op een avond tot bijna alleen maar. Het was gisteravond een waar feest.

Ik heb net nog even gecheckt.
Inmiddels worden via die Flash Player Distribution pagina ook de 16.0.0.305 EXE-installers aangeboden.
SInds wanneer - 6, 7, of 8 februari - dat weet ik niet, ik heb tussentijds niet gecheckt.
Maar dat vrijdagmiddag de msi-installers wel werden aangeboden via die pagina en de exe-installers toen nog niet, dat was natuurlijk nogal slordig.