Apple blokkeert onveilige versies Flash Player
Vanwege een zero day-lek in Adobe Flash Player waarvoor deze week een noodpatch verscheen heeft Apple besloten om alle versies van voor de noodpatch te blokkeren. De kwetsbaarheid was bij gerichte aanvallen ingezet voordat de update van Adobe beschikbaar was. Via het lek kan een aanvaller volledige controle over de computer krijgen.
Om dit te bereiken werden er e-mails met linkjes naar verschillende doelwitten gestuurd. De link in het bericht wees naar een website die vervolgens via het lek in Flash Player malware probeerde te installeren. Volgens Adobe waren de aanvallen gericht tegen Firefoxgebruikers op Windows XP en IE-gebruikers op Windows 7 en oudere Windowsversies. Toch kregen ook Mac-gebruikers het advies om de noodpatch binnen 72 uur te installeren.
Mac-gebruikers die dit nog niet hebben gedaan krijgen bij het bezoeken van websites in Safari die Flash Player aanroepen nu een pop-up. Die meldt dat Flash Player verouderd is en moet worden geüpdatet. Iets wat via een knop in dezelfde melding kan worden gedaan. De blokkade geldt voor alle Flash Player-versies voor versie 18.0.0.194 en 13.0.0.296.
Het gevaar op misbruik van deze melding is (lijkt mij) groter dan het gevaar van misbruik van de kwetsbaarheden in Flashplayer.
Voor misbruik van de pop-up melding heb je alleen wat social engineering en wat kennis van webdesign nodig om een gebruiker verkeerde software met verkeerde functionaliteit te laten downloaden.
Denk jij dat je Flashplayer software aan het downloaden en aan het installeren bent terwijl je malware aan het installeren bent met opgave van je admin password.
voor misbruik van lekken in Flashplayer komt veel meer kijken, ingewikkeld en helemaal niet nodig als je het af kan met social engineering trucs.
* Wat doe jij als je een melding krijgt?
Op de knop drukken in het pop up venster, dat is wat Apple je nu leert.
* Wat zou je eigenlijk niet moeten doen?
Op een knop drukken in een venster dat ineens voor je snufferd verschijnt terwijl je niet goed kan beoordelen of de pop up echt is of fake (dus waar hij vandaan komt).
* Kunnen de meeste gebruikers goed beoordelen waar een pop up melding vandaan komt?
Snappen veel gebruikers het verschil tussen een systeem pop up en een website gegenereerde pop up of zelfs een inline fake pop up venster binnen en web lay out?
Nee, nee, nee en nog eens nee.
Dat is nou eenmaal de praktijk, voor veel gebruikers, Windows en Apple maakt niet uit.
!!! Geïnitieerde pop up waarschuwingen binnen een browser proces vanuit het systeem zijn dus een bijzonder slecht idee !!!
(als ik zo bescheiden mijn mening mag uitdrukken)
Ook al is het best te begrijpen dat dit een beetje een lastige afweging voor Apple is om deze Flashplayer waarschuwing pop up als gewone systeem waarschuwing binnen OS X op te nemen omdat het 3rd party software betreft.
Erbij oplossing ? : Wat kan je de doorsnee gebruiker nou het best adviseren in dit geval?
- Maak een foto van de melding of schrijf deze op.
- Sluit je browser af.
…
..
.
?
Het beste is om flash te verwijderen.
Ik ben het eens met anoniem 20:50 en 16:23. Of je leidt alle gebruikers op om veilig systeembeheer te doen of je levert veilige systemen waar ze niets aan hoeven te doen.
Verkeerde handelingen aanleren om op een popup poppenkast te klikken Is in ieder geval niet goed. Helemaal niet als een serieus bedrijf als Apple dat doet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.