In zeker 3 exploitkits zegt Melvin Lammerts:

https://twitter.com/swept/status/618679777197715456

De 64 bit Rootkit van HackingTeam blijkt ook nog eens digitaal ondertekend (Microsoft)

https://www.virustotal.com/nl/file/8e1adc87c8d41f46976c804199509fd7276341a4e9fa2e7d45b7d6ddbbe89030/analysis/

Zie ook http://malware.dontneedcoffee.com/2015/07/hackingteam-flash-0d-cve-2015-xxxx-and.html

Adobe is druk bezig met het uitbrengen van de patch. Via de distribution download pagina is versie 18.0.0.203 voor Windows te downloaden ondanks dat de pagina nog versie 18.0.0.194 aan geeft. De Flash Player in Google Chrome is inmiddels ook bijgewerkt naar versie 18.0.0.203 ondanks dat op de pagina https://www.security.nl/posting/434827/Google+patcht+Flash+Player+in+Google+Chrome gesproken (en tegen gesproken) wordt over versie 18.0.0.204....

Ik kan zo 123 geen officiele berichten vinden dat de vulnerability in versie 18.0.0.203 verholpen is.

Ik weet niet wat je precies bedoelt maar ik kan je wel vertellen dat er in 18.0.0.203 ook nog een vulnerability zit.

Versie 18.0.0.203 is kan inmiddels ook worden gedownload:

MSIE: https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
Firefox: https://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe

De oudste digitale handtekeningen van de twee is gezet op 150704021615Z, dus 2015-07-04 02:16:15 UTC (04:16:02).

Ik acht het onmogelijk dat Adobe hierin bewust een patch voor de gepubliceerde "Hacking team" exploit(s) kan hebben opgenomen; de eerste meldingen van die hack waren van 5 of 6 juli (daarnaast, een patch maken en testen kost tijd). Ik sluit niet uit dat de patch toch de exploit voorkomt doordat een ander, eerder, hetzelfde lek aan Adobe gemeld heeft, of dat wijzigingen in de layout van de binary de exploit toevallig voorkomen. Ik zou die gok niet nemen, en doen wat nu iedereen adviseert:

- Ofwel deïnstalleer Flash,

- Ofwel configureer alle geïnstalleerde browsers voor "click to play" zoals uitgelegd in https://www.security.nl/posting/422149/Internet+met+en+zonder+Adobe+Flash+Player en http://www.howtogeek.com/188059/how-to-enable-click-to-play-plugins-in-every-web-browser/.

Ik bedoel(de) IS v18.0.0.203 de nieuwe versie waar in de vulnerability CVE-2015-5119 verholpen is? Ik zie nu wel dat https://get3.adobe.com/flashplayer/update/plugin/ vermelding maakt van die nieuwe versie. Verder zijn er wel veel andere pagina's die verwijzen naar die versie maar weinig nieuws van Adobe. De Security Advisory is nog niet bijgewerkt en de nieuwe Security Bulletin (https://helpx.adobe.com/security/products/flash-player/apsb15-15.html???) is er ook nog niet.... Maar goed het zal wel het tijdverschil met Amerika zijn.

Ik heb net gekeken via :configuratiescherm>flash player> checken voor nieuwe updates is die nieuwe versie voor windows nog niet te zien,er is dus nog geen nieuwe update beschikbaar.

Uit https://helpx.adobe.com/security/products/flash-player/apsa15-03.html:
N.b. https://www.adobe.com/software/flash/about/ is ondertussen ook bijgewerkt, maar https://browsercheck.qualys.com/?scan_type=js vindt zowel 18.0.0.194 als 18.0.0.203 een "Insecure Version".

Ik heb de -kennelijke- exploit gedownload (krash.in/flash0day.rar, bron: https://twitter.com/w3bd3vil/status/618168863708962816). Deze bevat een tekstfile "read me.txt" met daarin onder meer: Deze exploit bevat shellcode voor Mac64, Win32 en Win64 en lijkt niet te werken met Adobe Flash v18.0.0.203 (W7/64).

Uit http://www.rapid7.com/db/modules/exploit/multi/browser/adobe_flash_hacking_team_uaf:
Conclusie: het lijkt erop dat Morgan Marquis-Boire (van Google Project Zero) deze "Use After Free while handling ByteArray objects" aan Adobe heeft gemeld en Adobe een update gemaakt heeft, nog voordat de exploit van Hacking Team openbaar werd. Tenzij Morgan Marquis-Boire toevallig tegen de Hacking Team exploit is aangelopen, is de vondst van dit lek, gezien het enorme aantal lekken ooit in Flash Player door zowel Morgan als Hacking Team, m.i. toeval.

<conspiracy_theory>ik kan natuurlijk niet uitsluiten dat Morgan ook met Hacking Team heeft samengewerkt, of dat Hacking Team zijn computer(s) al eerder gehacked had en zo aan info over deze exploit gekomen is</conspiracy_theory>.

De Hacking Team exploit lijkt dus misbruik te maken van CVE-2015-5119, en lijkt dus te worden voorkomen door Flash versie 18.0.0.203 te gebruiken. Maar of het daarmee tijd is om alle zweetdruppeltjes (veroorzaakt door Flash i.p.v. de koperen ploert) van het voorhoofd te vegen...

Snap het niet graag een uitleg.

Ik snap niet hoe 'click to play' je kan beschermen?
Op internet kun je eigenlijk nooit zeker weten wat is besmet en wat niet.

De meeste mensen klikken dan gewoon een keer door.
En de bedoeling van videocontent (beeld, geluid) is ja het bekijken ervan toch?

Of snap ik het dan even niet?

Vraag twee als Youtube alles naar HTML5 zou omzetten is het dan gedaan met dit soort besmettingen?
Als ik dan geen Flash meer hebt geinstalleert is het dan Youtube die word besmet?

Dank voor je antwoorden.

Groetjes,
Daniel

Zo moet je dat ook niet doen... als je die updater gebruikt dan krijg je ook voor je het weet weer allerlei crapware mee.
Gebruik de hier al vaker gepubliceerde URL' s van de offline installer dan kun je Flash installeren zonder ongewenste
cadeau'tjes en irritante download helpers van uit de 14k4 modem tijd.

Offline installer:

https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html#main-pars_header

Ik las op een forum dat uitschakelen van Flash in de browser niet genoeg is omdat de .exe en de .dll's nog steeds op de schijf staan. Ik vraag me af of dit waar is, weet jij dat Erik?

Artikel in de Telegraaf (dan moet dit lek wel een enorm probleem zijn): http://www.telegraaf.nl/digitaal/24245750/___Schakel_Flash_op_computer_uit___.html

Hai Erik,
Heb je later vandaag misschien nog recentere en/of andere informatie ontdekt die misschien meer duidelijk maakt over hoe dit allemaal nou precies gelopen is?
Mocht je morgen of een van de komende dagen nog wat ontdekken, dan ben ik uiteraard ook nog benieuwd.

En wat de zweetdruppeltjes betreft -
met Flash is het natuurlijk verstandig om altijd maar bedacht te zijn op nog onbekende kwetsbaarheden en het potentiële misbruik daarvan, en daarom wellicht altijd maar wat alerte zweetdruppeltjes op het voorhoofd te houden :-)

De kans dat je een website bezoekt die zelf gehackt is, is relatief klein. De meeste besmettingen vinden plaats doordat in webpagina's (van bekende websites, zoals nu.nl) kwaadaardige advertenties worden getoond, afkomstig van een advertentieserver.

Zo'n kwaadaardige advertentie kan bestaan uit bijv. een onschadelijk reclameplaatje met daarin (of "daarachter"), bijv. 1 x 1 pixel groot, een kwaadaardig Flash "filmpje". Dat "filmpje" zie je dus helemaal niet, maar als Flash player in jouw browser is geïnstalleerd, zal deze dat "filmpje" automatisch starten (zonder dat je ergens op hoeft te klikken). Dat kwaadaardige Flash "filmpje" doet meestal visueel helemaal niets, maar zal in de achtergrond malware (een programma) downloaden en starten. Daarbij kan het bijvoorbeeld om ransomware gaan. Of jouw PC verandert in een zombie die onderdeel uitmaakt van een botnet, waarna er spam mee verzonden wordt en/of deze onderdeel gaat uitmaken van een heel leger zombie PC's die DDoS (Distributed Denial of Service) aaanvallen uitvoeren.

Met "Click to Play" verlaag je de risico's die je loopt doordat Flash niet meer automatisch wordt uitgevoerd. Als de pagina er prima uitziet zonder Flash is er geen reden om Flash filmpjes toe te staan. Als duidelijk is dat je Flash ondersteuning voor een filmpje aan moet zetten neem je -helaas- wel een gok dat daarmee ook kwaadaardige Flash "filmpjes" vanaf die site wordt gestart.

Dat laatste ligt wat gecompliceerd: helaas proberen webbrowsers kennelijk je de details te besparen. Als je bijv. http://www.nu.nl/videos/4084612/zwitsers-postbedrijf-test-bezorgen-via-drone.html in Firefox opent, laat die pagina jouw browser informatie (o.a. Javascript) van verschillende sites ophalen, en als rechthoekig onderdeel van de pagina een "frame" met aanvankelijk een foto met daarin een soort "play" knop. Als je daarop klikt wordt dat plaatje vervangen door HTML en Javascript afkomstig van http://media.zie.nl/e/?v=xmbz2ylfm3qq&amp;autoplay=1. Als je Firefox voor "Click to Play" hebt geconfigureerd, wordt dat "frame" als een grijze rechthoek getoond met daarin een soort Lego bouwsteentje en onder dat steentje de tekst "Activate Adobe Flash".

In de source code van dat frame staat Javascript code die een aantal parameters configureert (waaronder media_id = xmbz2ylfm3qq) en die parameters doorgeeft aan in Flash geschreven video player, welke vanaf de volgende link gedownload wordt: http://nl-sanoma.cdn.videoplaza.tv/resources/flash/flowplayer-3.2.6/latest/vp_plugin.swf.

Als je op "Activate Adobe Flash" (of elders in het grijze vlak) klikt met de muis, verschijnt linksboven in Firefox de melding:
Helaas (voor gevorderden) laat Firefox dus niet zien dat het Flash "filmpje" (feitelijk een video player) vanaf nl-sanoma.cdn.videoplaza.tv gedownload wordt, maar scheert alles in de nu.nl pagina over een kam door te vragen of Flash content "afkomstig van www.nu.nl" mag worden gestart. Kies je onder die vraag voor "Allow now" dan blijft Firefox alle Flash content uitvoeren van alle mogelijke sites waar nu.nl pagina's naar verwijzen - totdat je Firefox helemaal afsluit en weer opstart. Bij "Allow and Remember" is deze keuze permanent (dat zou ik dus nooit kiezen).

Internet Explorer 11 werkt op vergelijkbare wijze. Als je "click to play" hebt geconfigureerd en je daarmee http://www.nu.nl/videos/4084612/zwitsers-postbedrijf-test-bezorgen-via-drone.html opent, verschijnt onderin, meerdere keren als je Ja klikt, een lichtgele balk met de vraag of je Adobe Flash wilt toestaan. Als je daarna naar de eigenschappen van het "Shockwave Flash Object" in MSIE gaat kijken, zie je dat het gebruik ervan voor de volgende sites is toegestaan:Vreemd genoeg staat hier "nl-sanoma.cdn.videoplaza.tv" er niet bij, terwijl de Flash content daar vandaan komt.

Kortom, zowel in Firefox als MSIE moet je een hele site met alles daarachter vertrouwen (ook advertentieservers met mogelijk kwaadaardige content) om Flash af te kunnen spelen. Dit is fundamenteel anders dan bij NoScript: daarbij geef je voor elke "sub"-site aan of Javascript mag worden uitgevoerd (en bovendien kun je ook Flash van alle sub-sites blokkeren en vervolgens van specifieke subsites toestaan). Daarmee kun je veiliger goedaardige filmpjes afspelen terwijl je kwaadaardige Flash content blokkeert. Veel mensen vinden NoScript echter te lastig, en daarom is mijn advies om het gebruik van Flash te beperken. Je krijgt dan ook inzicht in welke sites die jij bezoekt nog daadwerkelijk Flash ondersteuning nodig hebben.

Als ik me niet vergis werkt Youtube prima zonder Flash. Echter, er zijn bijv. veel spelletjes in Flash geschreven, en die zet je niet zomaar om in HTML5.

Cybercriminelen kunnen natuurlijk proberen om kwaadaardige Flash of HTML5 content naar Youtube te uploaden, maar ik vermoed dat Youtube filters zal hebben om dat soort code zoveel mogelijk te weren. Op het moment dat het aanvallers lukt om 1 of meer servers van Youtube te hacken, heb je een heel ander verhaal (laten we maar hopen dat dat niet gebeurt).

---

Die instellingen gelden per webbrowser (bijv. Firefox en MSIE als die beiden op je PC staan) en alleen voor jouw account (feitelijk per profiel, want sommige webbrowsers staan toe dat je per gebruiker meerdere profielen hebt). Als die instellingen niet worden gereset blijft Flash voor jou geblokkeerd.

Echter er is een risico dat je over een maand vergeten bent dat je die Flash instelling gemaakt hebt, en omdat de een of andere suffe site niet goed werkt besluit om browser instellingen te resetten - en daarmee het gebruik van de Flash plugin weer toestaat. Denkbaar is ook (maar hoort niet) dat een update van de browser of Flash player die instellingen wijzigt (als ik me niet vergis enablen Java updates altijd de Java plugin in webbrowsers).

Daarnaast werken de instellingen per account (profiel). Zijn er meerdere gebruikers op een PC (die onder een eigen naam inloggen), dan zal elke gebruiker die instellingen moeten wijzigen.

---

Nee, ik heb geen "hard" nieuws, anders dan dat https://www.kb.cert.org/vuls/id/561288 vermeldt:terwijl Adobe die "eer" gunt aan Morgan Marquis-Boire.

Off Topic: hoewel je er niet op inlogt o.i.d. is het wel triest dat notabene www.kb.cert.org uitsluitend RC4 ondersteunt en naast TLS 1.0 ook nog SSL 3, zie https://www.ssllabs.com/ssltest/analyze.html?d=kb.cert.org:

Dat is niet zo volgens mij maar het is idd wel oppassen met die instellingen resetten en met meerdere gebruikers (want instellingen zij per gebruiker).