Adobe dicht ernstige lekken in Reader en Shockwave Player
Naast de noodpatch voor Flash Player die vanochtend verscheen heeft Adobe vandaag ook belangrijke updates voor Adobe Reader, Acrobat en Shockwave Player uitgebracht die ernstige lekken in de software verhelpen, wat inhoudt dat honderden miljoenen internetgebruikers updates moeten installeren.
De grootste update is voor Reader en Acrobat. In totaal heeft Adobe in beide PDF-lezers 46 kwetsbaarheden verholpen, waarvan er 24 het voor een aanvaller mogelijk maakten om code op de computer uit te voeren. Via de overige lekken was het mogelijk om informatie te achterhalen, rechten te verhogen, een Denial of Service te veroorzaken en maatregelen die het uitvoeren van JavaScript moesten beperken te omzeilen.
Adobe verwacht echter niet dat er op korte termijn aanvallen zullen plaatsvinden die van de kwetsbaarheden gebruik maken. Gebruikers krijgen dan ook het advies om binnen 30 dagen naar versies 10.1.15 of 11.0.12 te upgraden. In het geval van de Flash Player-update werd aangeraden die binnen 72 uur te installeren. Updaten naar de meest recente versie van Acrobat of Reader kan via de automatische updatefunctie of de website van Adobe.
Shockwave Player
Hoewel Flash Player met name de afgelopen week in de schijnwerpers stond, heeft Adobe ook nog een andere plug-in die op grote schaal wordt gebruikt. Het gaat om de Shockwave Player. Volgens het softwarebedrijf is deze plug-in op meer dan 450 miljoen computers geïnstalleerd. Twee beveiligingslekken in de software maken het mogelijk voor een aanvaller om het onderliggende systeem volledig over te nemen. In tegenstelling tot Flash Player en Adobe Reader beschikt Shockwave Player niet over een automatische updatefunctie. Gebruikers wordt daarom aangeraden binnen 72 uur de update naar versie Shockwave Player 12.1.9.159 te installeren, wat kan via de website van Adobe.
Flash Player
Hoewel de beveiligingsupdates voor Flash Player vanochtend al waren te downloaden, heeft Adobe nu pas de bijbehorende security advisories gepubliceerd. Daarin wordt gewaarschuwd voor de twee beveiligingslekken waarover het Italiaanse HackingTeam beschikte. Deze kwetsbaarheden zijn aanwezig in Flash Player 18.0.0.204 en ouder. Gebruikers krijgen het advies om binnen 72 uur de update naar Flash Player 18.0.0.209 te installeren. Dit kan via de automatische updatefuntie en het Adobe downloadcentrum. Hoewel Flash Player door de recent ontdekte zero day-lekken onder vuur ligt, is het volgens Adobe nog altijd op meer dan 1 miljard desktops geïnstalleerd.
Het zijn gratis producten, dus [i/buyer beware[/i].
Het grootste manco zit in de gebrekkige sandboxing van operating systems. Die smijten alle rechten die de user heeft (file system access, network access, scherm-access en applicatie-access) en verwachten dan dat die applicatie zorgvuldig omgaat met die rechten.
Kies een operating system dat by default geen rechten weggeeft en je kunt brakke interpreters zoals flash, acrobat, word, etc veilig draaien. http://genode.org.
Elke interpreter in zijn eigen sandbox!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.