Adobe dicht 52 beveiligingslekken in Flash Player
Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin 52 beveiligingslekken zijn verholpen, waardoor een aanvaller in het ergste geval computers volledig kon overnemen. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Word-document met een Flash-object zou hiervoor voldoende zijn geweest. Verdere interactie is niet vereist.
Via 49 van de kwetsbaarheden kon een aanvaller een dergelijke aanval uitvoeren. Deze beveiligingslekken maakten het mogelijk om willekeurige code, zoals malware, op een computer met een kwetsbare Flash Player uit te voeren. De overige drie kwetsbaarheden veroorzaakten geheugenlekken en lieten een aanvaller bepaalde informatie achterhalen. Voor zover bekend worden de beveiligingslekken nog niet actief aangevallen. Uit de praktijk blijkt echter dat internetcriminelen kort na het verschijnen van beveiligingsupdates voor Flash Player hiermee beginnen.
Adobe adviseert gebruikers dan ook om binnen 72 uur naar Flash Player versie 22.0.0.209 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.
Weg ermee!
mammie is ZO trots op je..
Weg ermee!
mammie is ZO trots op je..
Weg ermee!
mammie is ZO trots op je..
Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.
Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)
Oud of nieuw, denk jij dat dit de laatste lek zal zijn ?
Mocht jij ook om onduidelijke redenen geen (standalone) Flashplayer / flashplayer update meer kunnen installeren omdat het install-icoon een tijd open neer springt in je dock om vervolgens niets meer te doen omdat de installer vastloopt.
Wat het veroorzaakt is onduidelijk, op het ene systeem werkt het wel en op het andere weer niet, maar je kan er eenvoudig omheen werken.
Oplossing :
- Open de dmg file van flash (install_flash_player_osx.dmg)
- Cntrl of rechtermuisklik op de "Install Adobe Flash Player.app" en kies voor pakketinhoud weergeven.
- Nu is het zaak op zoek te gaan naar het volgende bestand in de mapjes
"Adobe Flash Player.pkg"
Dit is het hele pad
/Volumes/Flash Player/Install Adobe Flash Player.app/Contents/Resources/Adobe Flash Player.pkg
Dus mapje contents openen, mapje Resources openen.
- Klik dit installatie-component aan "Adobe Flash Player.pkg" en de installer zal beginnen.
- Klik in het eerste venster dat verschijnt desgewenst rechtsboven het certificaatweergaveblokje aan om er zeker van te zijn dat het certificaat klopt.
- Klik op installeren en de nieuwe Flashplayer zal zich installeren.
Opgelost.
Voel je vrij om als je een online Adobe account hebt daar in te loggen en het antwoord daar te plaatsen.
Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.
Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)
Ik praat niks goed hoor. Maar soms zitten er legitieme redenen achter. Ik draai hier nog op een server java 8u77 omdat de site van een zeer grote bank (schandelig eigenlijk!) niet werkt met de laatste java8u91. Dit is wel een andere server dan waar gebruikers regulier op werken om de attack vector kleiner te houden, maar de verouderde software is wel nodig.
In het geval van jouw bedrijf zal er waarschijnlijk geen budget zijn om nostalgische (waarschijnlijk voor het bedrijf zelf geschreven) pakketten te vervangen die alleen werken op oude java/flash versies. Hier kan een ITer vaak niet veel aan doen maar er wordt door het management besloten die software niet te vernieuwen. Een ITer zou natuurlijk wel het e.e.a. kunnen afbakenen om te zorgen dat die oude java/flash versies niet aangeroepen kunnen worden door externe sites of het op een compleet afgescheiden systeem kunnen installeren en de browser en plugins met remoteapp oid kunnen aanroepen.
In heel veel bedrijven kom je niet onder verouderde software uit. Maar het is wel de taak aan de ITer om beveiligingsrisico's zoveel mogelijk te mitigeren.
Ik denk dat jij vergeet dat er meer is dan het simpel weg updaten van applicaties. Voor een IT'er is dit een simpele klus. Het zijn meestal de KA pakketten welke niet overweg kunnen met de updates. Het komt regelmatig voor dat na een update bepaalde zaken niet meer werken. Je kan de bal neerleggen bij de leveranciers, en die verschuilen zich achter lange test trajecten. Je zult als bedrijf zaken moeten afwegen en op andere lagen security moeten aanbrengen welke er voor kan zorgen dat je niet vatbaar bent voor exploits.
Het meeste gevaar komt vanuit de eindgebruiker, veel door internetten of besmette bijlages. Meestal door niet werk gerelateerd websites of vage mailtjes die ze uiteraard openen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.