image

Tijd tikt voor verkopers van zero day-lekken in Flash Player

vrijdag 16 december 2016, 17:09 door Redactie, 7 reacties

Beveiligingsonderzoekers die zero day-lekken in Adobe Flash Player verkopen moeten opschieten, aangezien alle grote browserontwikkelaars Flash de komende maanden standaard gaan blokkeren. Daarvoor waarschuwt Zerodium, een bedrijf dat zero day-lekken en -exploits van onderzoekers opkoopt om die vervolgens aan overheidsinstanties door te verkopen.

Onlangs is Google al bij een klein deel van de Chrome-gebruikers begonnen om Flash Player standaard te blokkeren. In het geval een website toch Flash Player wil gebruiken verschijnt er een pop-up en moet de gebruiker dit bevestigen. In februari, met het verschijnen van Chrome 56, gaat de maatregel voor alle gebruikers gelden. Er wordt alleen een tijdelijke uitzondering gemaakt voor de tien populairste Flash-sites. Ook Microsoft kondigde aan dat Edge Flash Player straks standaard gaat blokkeren en ook Mozilla heeft zulke plannen.

Adobe Flash Player is de afgelopen jaren het favoriete doelwit van zowel cybercriminelen als cyberspionnen. Regelmatig worden er zero day-lekken in Flash Player tegen organisaties ingezet en blijken bekende Flash-kwetsbaarheden nog altijd een effectieve methode voor cybercriminelen om internetgebruikers met ransomware en andere malware te infecteren.

De maatregelen van de browserleveranciers kunnen dan ook grote impact op de handel in zero day-lekken in Flash Player hebben. "Google gaat Flash in Chrome uitschakelen en door html5 vervangen. Verkoop je Flash zero-days voordat het te laat is", aldus Zerodium in een tweet aan onderzoekers. Het bedrijf biedt beloningen tot 100.000 dollar voor onbekende kwetsbaarheden in Flash Player waardoor computers volledig kunnen worden overgenomen. Alleen kwetsbaarheden in Android en iOS worden beter beloond.

Reacties (7)
16-12-2016, 17:27 door Anoniem
Dat valt dus wel mee want flash wordt ook embedded in document bijlagen en dat werkt blijkbaar goed.

Op deze aanpak drijft diverse surveillance software als Finfisher van Lench IT solutions PLC en allerlei producten van Hacking team.
Ze doen er goede zaken mee.

Webbezoek hoeft niet, phishing per mail of app werkt ook uitstekend!
https://www.security.nl/posting/496554/Microsoft+vindt+overheidsspyware+bij+zero+day-aanval

https://en.wikipedia.org/wiki/FinFisher
https://en.wikipedia.org/wiki/Hacking_Team
16-12-2016, 18:36 door Anoniem
Het gaat nog jaren duren voordat alle browsers zijn geupdate naar een versie waarbij Flash geblokkeerd is, en de
golf voorbij is van quick fixes om deze blokkering weer ongedaan te maken.
(voor wie het nog niet in de gaten heeft: als er draconische maatregelen genomen worden om de veiligheid te verbeteren,
en je gaat daar met google naar zoeken, dan vult google dat meteen aan met de zoekwoorden hoe je die maatregel
ongedaan kunt maken. kennelijk wordt daar heel veel naar gezocht)

Interenssant dat Chrome als voorbeeld wordt gegeven, want uitgerekend Chrome wordt niet meer geupdate op
Windows Vista, dus de gebruikers van dat (gewoon nog door Microsoft ondersteunde!) OS die maken die Flash
uitschakeling alvast niet mee.
16-12-2016, 18:46 door Anoniem
Tja ik denk dat Adobe helemaal misschien eens met flash gaat stoppen voor Windows en de MacOs,en hun pijlen op andere producten gaan richten.
Ze moeten immers ergens van leven.
Alles zal in de loop der tijd wel vervangen gaan worden met HTML5 geloof ik,wat een prima vervanger voor flash zou kunnen zijn.
Maar ja ook daar zitten haken en ogen aan,want zo kan een kwaadwillende zo een website hacken en die site volproppen met malware.
Dus dan blijf je eigenlijk even ver van huis.
Dus wat er dan gebeurd is dat alle zero day lekken dan in de verschillende brouwsers zitten en niet meer in het flash programma van adobe.
Daardoor worden ook alle problemen verschoven naar de brouwser makers.
16-12-2016, 23:33 door Anoniem
Zelfs al stopt Adobe met Flash, dan is het probleem nog niet weg. Zolang er websites gebruik maken van Flash blijft het leven. Wie gelooft dat er gebruikers zijn die Flash gaan de-installeren als Adobe ermee stopt.

Adobe moet blijven patchen tot er geen enkele website nog gebruikt maakt van doe zooi.
Het eerste waar ze mee moeten stoppen is het aanbieden van de tools om Flash content mee te maken.
17-12-2016, 13:07 door Anoniem
Heb Flash al sinds vorig jaar herfst uitgefaseerd, per 01-06-2016 voltooid, van alle computers.
Fout meldingen die het opleverde nogmaals gemeld aan beheerders van sites waar we zaken bekijken en of bestellen.

Nu zijn er nog een paar sites die niet willen / kunnen c.q. andere redenen hebben en daar komen we dus niet meer.

Dus gewoon stoppen en het "probleem" lost zich vanzelf op ( financiële prikkel, geen bezoek is geen bestelling is geen omzet werkt goed).

Ben nu bezig met Java, ruim 95% al klaar met geen problemen, en dat gaat ook lukken, gewoon aanpassen of we gaan naar een ander software pakket.
17-12-2016, 13:10 door Anoniem
Adobe flash heb je nergens voor nodig.

De enige die het nodig heeft zijn oude flashgames, die te vinden zijn bij NewsGround en andere gare flashgames sites.

Nickelodeon is ook schuldig aan deze rottigheid en zullen al hun zooi moeten omzetten naar HTML5.

Het zal net als de adobe shockwaveplayer moeten verdwijnen.

---

Een browser moet zo licht en simpel mogelijk zijn zonder enige tierlantijntjes.

Geen automatisch startende filmpjes of geluidjes of scripts bij het bezoeken van een website.

Alles moet vragen om expliciete toestemming. Geen toestemming, geen inhoud.

Een ideale browser zal permanent gesandboxed moeten worden, met alleen beperkte toegang tot een download folder.

De download folder moet alleen toegankelijk zijn na het invoeren van een passwoord.
18-12-2016, 03:27 door Skizmo
Dus de mensen moeten nu gaan klikken om flash te activeren... dat gaan ze dus gewoon doen, en dan werken de exploits nog steeds. Dom volk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.