Nieuwe beveiliging Adobe Flash Player toch omzeild
Vorige maand heeft Adobe verschillende beveiligingsmaatregelen aan Flash Player toegevoegd waardoor het lastiger moet worden om van beveiligingslekken in de browserplug-in gebruik te maken, maar de beveiliging is nu toch omzeild. Cybercriminelen hebben een exploit ontwikkeld voor een lek dat Adobe op 11 augustus in Flash Player patchte.
Via de kwetsbaarheid worden ongepatchte computers nu met malware besmet. Dit is een voortzetting van de trend waarbij kwetsbaarheden in Flash Player kort na het uitkomen van een beveiligingsupdate worden aangevallen. Iets dat de afgelopen maanden regelmatig voorkwam. Na het verschijnen van de "gewapende" Flash Player in juli verschenen er echter geen nieuwe exploits. Juist Internet Explorer kwam in het vizier van cybercriminelen.
Nu blijkt dat het ontbreken van nieuwe Flash Player-aanvallen slechts tijdelijk van aard was, zo meldt onderzoeker Kafeine van het blog Malware don't need coffee. De nu ontdekte exploit is toegevoegd aan de Angler-exploitkit en maakt gebruik van een lek in Flash Player 18.0.0.209. In het geval de aanval succesvol is wordt de Bedep Trojan geïnstalleerd en de computer onderdeel van een botnet gemaakt. Dit botnet kan vervolgens aanvullende malware installeren om de computer voor verschillende doeleinden te gebruiken, zoals clickfraude.
Tuurlijk is het mogelijk om "gewoon" te stoppen met Adobe Flash. Maar menig website die gebruik maakt van Flash-technologie werkt dan niet meer. Daarnaast moet HTML 5 ook op de een of andere manier "gerendered" kunnen worden in de browser. Dat kan natuurlijk op diverse manieren en het is mij onduidelijk of Flash daar intern voor wordt gebruikt, maar ik weet wel dat Google een aangepaste versie van Flash volledig heeft ingebouwd in Chrome; het is dus niet mogelijk om Flash te vermijden als je Google Chrome gebruikt. Maar wees getroost: Flash is niet het enige probleem; heel veel software (Windows, Office, diverse webbrowsers zelf, en ja, zelfs firewalls en anti-virussoftware) bevat talloze veiligheidsrisico's. Als je dus echt geen risico's wilt lopen, moet je gewoon geen computer gebruiken (net zoals je niet moet deelnemen aan het verkeer als je absoluut nooit een verkeersongeluk wilt krijgen)... Maar ja, dan zou ikzelf als professioneel software ontwikkelaar een nieuwe job moeten gaan zoeken. Alles heeft nu eenmaal zijn risico's. En - met alle respect - het grootste risico is en blijft het kennisniveau en het logisch denkniveau van de eindgebruikers van computers: blijf je op zo'n computer bewust van wat je doet en waarom je het doet.
Tuurlijk is het mogelijk om "gewoon" te stoppen met Adobe Flash. Maar menig website die gebruik maakt van Flash-technologie werkt dan niet meer. Daarnaast moet HTML 5 ook op de een of andere manier "gerendered" kunnen worden in de browser. Dat kan natuurlijk op diverse manieren en het is mij onduidelijk of Flash daar intern voor wordt gebruikt, maar ik weet wel dat Google een aangepaste versie van Flash volledig heeft ingebouwd in Chrome; het is dus niet mogelijk om Flash te vermijden als je Google Chrome gebruikt. Maar wees getroost: Flash is niet het enige probleem; heel veel software (Windows, Office, diverse webbrowsers zelf, en ja, zelfs firewalls en anti-virussoftware) bevat talloze veiligheidsrisico's. Als je dus echt geen risico's wilt lopen, moet je gewoon geen computer gebruiken (net zoals je niet moet deelnemen aan het verkeer als je absoluut nooit een verkeersongeluk wilt krijgen)... Maar ja, dan zou ikzelf als professioneel software ontwikkelaar een nieuwe job moeten gaan zoeken. Alles heeft nu eenmaal zijn risico's. En - met alle respect - het grootste risico is en blijft het kennisniveau en het logisch denkniveau van de eindgebruikers van computers: blijf je op zo'n computer bewust van wat je doet en waarom je het doet.
Wel een beetje raar, je kan het voorkomen en vermijden door verschillende dingen dus niet te installeren, welke sites flash gebruiken zijn meestal niet zulke relevante websites, groot deel van youtube loopt al op HTML5.
Als je noscript gebruikt weet je dat er veel meer websites javascript gebruiken dan eigenlijk nodig is, meestal is het maar een beetje voor de sier ( layout ect ).
En het is wel zo dat flash veel meer gebruikt word door malware te verspreiden dan jou firewall.
Zoals anoniem 15:37 al zegt: Als je het niet nodig hebt ver van weg blijven, net als Java.
Onzin om Java te verwijderen wanneer je de browser plug in daarvan niet activeert c.q. Java lokaal gebruikt.
En het idee dat HTML5 veilig is zou ik maar niet omarmen.
Kun je dan nog wel internetten?
lees: werken alle internetpagina's dan nog steeds goed?
HTML5 is een goed begin, maar zolang de ontwerpers, met name in die sectoren, kiezen voor bv. DreamWeaver - met ingebouwde Flash - weer vanwege de vele voorhanden formats welke nog niet ontwikkeld zijn in HTML5, kan YouBook & FaceTube er nog een puntje aan zuigen...
Kun je dan nog wel internetten?
lees: werken alle internetpagina's dan nog steeds goed?
Nee, niet allemaal. Daarom is een beter werkbaar alternatief je browserplug-ins op 'click to play' te zetten.
Click-to-Play, waarmee een extra klik voor plug-ins is vereist, was al vroeg in Chrome ingeschakeld. Ik heb mijn Google Chrome zo ingesteld dat alle plug-ins zijn uitgeschakeld. Als ik Flash Player op YouTube wil laden verschijnt er een melding dat ik moet 'klikken' om Flash in te schakelen. Dus ik speel alleen Flash en andere plug-ins als ik dat wil en niet automatisch zoals meestal het geval is.
Als je dit strenger wilt instellen ga je naar 'Instellingen' en kies daar 'Geavanceerde instellingen weergeven'. Ga dan naar 'Instellingen voor Inhoud' en ga naar het submenu 'Plug-ins'. Normaal staat het op 'Automatisch uitvoeren'. Ik heb 'Klikken om te spelen' ingeschakeld. En het is ook mogelijk om uitzonderingen toe te voegen, bijvoorbeeld als ik de conferentietool van mijn bedrijf gebruik, maar alleen voor die ene specifieke URL.
Ook kan ik afzonderlijke plug-ins uitschakelen, dus ik heb al mijn plug-ins uitgeschakeld en sta alleen Flash toe. Als ik voor een specifieke reden Java nodig ik heb schakel ik het in en kan het dan via Click-to-Play activeren. Als ik klaar ben schakel ik de Java plug-in weer uit. Ik wil niet dat mijn browser Java kan uitvoeren. Java is een groot gat in de browser. Het is een fantastische programmeertaal voor server side programmeren, maar het is op dit moment een probleem in de browser.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.