image

Microsoft dicht Flash Player-lekken in Edge en IE11

woensdag 22 februari 2017, 07:30 door Redactie, 11 reacties

Microsoft heeft een week nadat Adobe updates voor ernstige lekken in Flash Player uitbracht dezelfde kwetsbaarheden eindelijk ook in Edge en Internet Explorer 11 op Windows 8.1 en Windows 10 gepatcht. Via de beveiligingslekken kon een aanvaller in het ergste geval systemen volledig overnemen.

Normaliter brengen Adobe en Microsoft de Flash Player-updates rond hetzelfde moment uit. Dit moet het aantal kwetsbare gebruikers verkleinen. In het verleden is het geregeld voorgekomen dat aanvallers de Flash Player-updates analyseerden om zo de gepatchte kwetsbaarheden te vinden. Die werden vervolgens gebruikt voor het aanvallen van gebruikers die de update nog niet hadden geïnstalleerd.

Microsoft besloot de patchdinsdag van 14 februari op het allerlaatste moment te annuleren en naar 14 maart te verzetten. Aangezien IE11 op Windows 8.1 en Windows 10 en Microsoft Edge over een embedded Flash Player beschikken liepen deze gebruikers nu risico om te worden aangevallen, aangezien Adobe de Flash Player-updates vorige week dinsdag wel had uitgerold. Gisterenavond heeft Microsoft alsnog voor deze systemen de Flash Player-updates uitgerold. Op de meeste systemen zullen die automatisch worden geïnstalleerd.

Reacties (11)
22-02-2017, 07:56 door karma4
Een week na elkaar uitbrengen lijkt me niet schokkend.
Ik lees hier voortdurend verhalen over hacks via kwetsbaarheden die al vele jaren opgelost zijn. Met iets wat vele jaren niet onderhouden is heb je een heel ander probleem. Zoiets als het wrak van de maand.
22-02-2017, 11:05 door Anoniem
ik snap nog steeds niet dat microsoft dat k programma standaard meelevert met windows. dat is toch vragen om problemen?
22-02-2017, 11:33 door Erik van Straten - Bijgewerkt: 22-02-2017, 11:41
Schandalig dat dit een week heeft moeten duren, en wie weet hoeveel langer sommige eindgebruikers die deze update niet automatisch snel binnenkrijgen.

En helemaal bizar dat je moet rebooten om deze update te installeren (bij de betere webbrowsers volstaat het sluiten van alle vensters van de betreffende webbrowser om Flash te kunnen updaten). Velen zullen zich dat niet realiseren en met een kwetsbare PC verder surfen.

Last but not least ondersteunt Edge geen "click-to-play" zoals betere webbrowsers wel doen: je kunt slechts kiezen tussen aan of uit (notebene MSIE is veiliger met de mogelijkheid van instellingen per website). Als je https://www.adobe.com/software/flash/about/ opent in Edge, en het versienummer van Flash wordt getoond, is er Flash content afgespeeld.
22-02-2017, 11:45 door karma4
Door Erik van Straten: Schandalig dat dit een week heeft moeten duren, en wie weet hoeveel langer bij eindgebruikers die deze update niet automatisch ......
Als het automatisch gaat is het schandalig dat ms dat bepaald als het niet automatisch gast is het schandalig dat ms dat niet doet. Wat wl hè nou alleen maar bashen?

Een professioneel bedrijf test patches eerst zelf uit voordat het naar de desktops gaat. Zoiets duurt gewoonlijk enige weken.
Als je als thuisgebruiker op de korrel genomen wordt dan heb je een meer serieus probleem.
Verbergen in de massa is voor de gewone man het meest effectieve. Uitzetten na gebruik hoort een gewoonte te zijn. Waarom zou je iets thuis iets aan laten wat je niet gebruikt.
22-02-2017, 12:47 door Anoniem
Door Erik van Straten: Schandalig dat dit een week heeft moeten duren, en wie weet hoeveel langer sommige eindgebruikers die deze update niet automatisch snel binnenkrijgen.

Schandalig dat Flash uberhaupt nog steeds ondersteund wordt.
22-02-2017, 13:45 door Erik van Straten
22-02-2017, 1247 door Anoniem:
Door Erik van Straten: Schandalig dat dit een week heeft moeten duren, en wie weet hoeveel langer sommige eindgebruikers die deze update niet automatisch snel binnenkrijgen.

Schandalig dat Flash uberhaupt nog steeds ondersteund wordt.
Als je bedoelt dat je het schandalig vindt dat er nog websites en applicaties zijn die niet (goed) werken zonder Flash in de webbrowser, dan heb je gelijk.

Als je bedoelt dat het schandalig is dat Microsoft Flash nog steeds ondersteunt, dan ben je niet goed bij je hoofd.

Microsoft heeft sinds W8 gemeend dat het een goed idee was om Windows gebruikers Flash door de strot te douwen en het updaten met de ActiveX updater direct gedownload vanaf Adobe te blokkeren (dit heb ik afgelopen week nog geprobeerd onder W10). Als je zoiets doet heb je zorgplicht.
22-02-2017, 16:04 door Anoniem
Door Anoniem: ik snap nog steeds niet dat microsoft dat k programma standaard meelevert met windows. dat is toch vragen om problemen?
Misschien omdat jij niet snapt dat in (grote) bedrijven flash toch echt nog heel erg belangrijk is. Zet het eens uit, en ga eens voor de lol op de servicedesk zitten. Dan heb je pas echt problemen.
En het update mechanisme van Flash zeer slecht te beheersen is en door het package vanuit WSUS aan te bieden het in eens heel erg beheersbaar en controleerbeer is geworden.

Door Erik van Straten: Schandalig dat dit een week heeft moeten duren, en wie weet hoeveel langer sommige eindgebruikers die deze update niet automatisch snel binnenkrijgen.
gelukkig werkt Windows Update (redelijk) goed, en zal deze update dus vrij snel gedistribueerd worden op de machine.
Het is niet perfect, maar bij de meeste werkt dit gewoon goed, en indien de machine Internet toegang heeft. Zal dit binnen 1 a 2 dagen overal wel geïnstalleerd staan.
Overdrijven is ook een vak, meneer de professor. Het is ook nooit goed bij sommige personen.

En helemaal bizar dat je moet rebooten om deze update te installeren (bij de betere webbrowsers volstaat het sluiten van alle vensters van de betreffende webbrowser om Flash te kunnen updaten). Velen zullen zich dat niet realiseren en met een kwetsbare PC verder surfen.
Mits je dus de browser afsluit. En niet iedere gebruiker doet dit standaard. Een reboot logische oplossing. Mede omdat dit al bestaande functionaliteit is. Dus bizar valt mee. Het zou wel een stuk mooier zijn, maar dat kan je voor heel veel meer dingen zeggen.

Last but not least ondersteunt Edge geen "click-to-play" zoals betere webbrowsers wel doen: je kunt slechts kiezen tussen aan of uit (notebene MSIE is veiliger met de mogelijkheid van instellingen per website). Als je https://www.adobe.com/software/flash/about/ opent in Edge, en het versienummer van Flash wordt getoond, is er Flash content afgespeeld.
Langzaam begint dit nu standaard te worden. De meeste betere browsers ondersteunen het ook niet standaard, en had je plugins voor nodig. Iets wat de meeste gebruikers ook niet gebruiken.
22-02-2017, 17:02 door [Account Verwijderd]
[Verwijderd]
22-02-2017, 20:40 door [Account Verwijderd]
Door Rinjani: Het is werkelijk van de ratten besnuffeld dat een browser plugin (Adobe Flash) door Microsoft in Windows geïntegreerd wordt geleverd! Daarmee ben je afhankelijk gemaakt van de Microsoft update planning en voor je 't weet zit je dagen of wekenlang met een kwetsbaar systeem (zoals nu het geval blijkt). Andere browsers hanteren hun eigen update planning en leveren veel sneller de benodigde security fixes.

En wat wanneer je helemaal geen Flash wilt? Dan ben je de klos want je kan het niet zomaar verwijderen. Het zit namelijk in Windows zelf. Microsoft heeft besloten dat dit beter is voor de gebruiker, jou en mij. Blij?

Nou ja, versta me niet verkeerd: die ingebakken Flash vind ik persoonlijk óók een waardeloze softwaredistributie maar om nu te stellen 'de klos' vind ik wel een beetje overdreven.
Als je voldoende reden hebt om IE niet te gebruiken kun je naast - uiteraard - Flash uitschakelen het beste IE zoveel mogelijk isoleren, (alle snelkoppelingen verwijderen) en het beveiligingsniveau op het hoogst instellen. Stel als homepage in About:Blank (voor het geval je hem toch een keer per abuis start) Zo zijn er voor de inventieve gebruiker waarschijnlijk nog wel wat meer dingen te verzinnen)

Waar ik bijvoorbeeld benieuwd naar ben is hoe je kunt instellen dat webkoppelingen vanuit een programma waarin je een online hulppagina aanroept niet IE laten starten.

p.s. Misschien zijn er hier wel wat mensen met meer tips?
22-02-2017, 21:13 door Anoniem
Door Rinjani: Het is werkelijk van de ratten besnuffeld dat een browser plugin (Adobe Flash) door Microsoft in Windows geïntegreerd wordt geleverd! Daarmee ben je afhankelijk gemaakt van de Microsoft update planning en voor je 't weet zit je dagen of wekenlang met een kwetsbaar systeem (zoals nu het geval blijkt). Andere browsers hanteren hun eigen update planning en leveren veel sneller de benodigde security fixes.
Sommige brouwers hebben flash ingebakken, waardoor je een applicatie upgrade meteen moet uitvoeren, en mogelijk nieuwe functionaliteit er bij krijgt, die je eerst wilt testen. Waardoor je een afhankelijkheid creëert.
Andere gebruikers gebruiken de NSAPI, waardoor je de flash update moet packagen voor een uitrol. Je moet dus in eens tooling actief hebben om flash gecontroleerd te updaten. In de hoop dat de updates allemaal goed gaan. Want je hebt totaal geen controle of de update gedaan wordt, en gelukt is.
Of je gebruikt WSUS waarin je in 1 klik je uitrol kan doen, en controleren. Het is dus maar net hoe je er naar kijken. De puinhoop en geen enkele controle die ik heb in diverse klant netwerken, vind ik 10 keer gevaarlijker.

En wat wanneer je helemaal geen Flash wilt? Dan ben je de klos want je kan het niet zomaar verwijderen. Het zit namelijk in Windows zelf. Microsoft heeft besloten dat dit beter is voor de gebruiker, jou en mij. Blij?
Ieder voordeel heeft zijn nadeel, en ieder nadeel heeft zijn voordeel.
Is er een beste? Nee. Er zijn keuzes......
En er zijn altijd zeikers waar het nooit goed is.
23-02-2017, 06:34 door Erik van Straten - Bijgewerkt: 23-02-2017, 06:47
22-02-2017 21:13 door Anoniem:
22-02-2017, 18:02 door Rinjani: En wat wanneer je helemaal geen Flash wilt? Dan ben je de klos want je kan het niet zomaar verwijderen. Het zit namelijk in Windows zelf. Microsoft heeft besloten dat dit beter is voor de gebruiker, jou en mij. Blij?
Ieder voordeel heeft zijn nadeel, en ieder nadeel heeft zijn voordeel.
Is er een beste? Nee. Er zijn keuzes......
Niet voor de klant. Ook al zet je Flash uit in MSIE en Edge, dan loop je nog risico's omdat ook andere software de ActiveX (OCX) variant van Flash ondersteunt, waaronder MS Office [1] en MSHTA en vermoedelijk ook software die de MSIE rendering engine gebruikt (zoals html help).

Eerder schreef ik op deze site [2] hoe je Flash kunt killbitten onder W7 (dat blokkeerde Flash ook in Office 2007), maar in W10 zie ik Flash een iets andere CLSID gebruiken dan in W7 en je kunt de registerwaarde onder W10 niet meer zomaar wijzigen (door andere permissies). Bovendien gaf Microsoft, in haar killbit FAQ serie, zelf aan dat killbitten geen garantie biedt dat alle risico's zijn weggenomen. Waarmee het de vraag is of het überhaupt mogelijk is, en ergens gedocumenteerd is, of en hoe je Flash onder W8.x en W10 voor 100% kunt disablen. Want deïnstalleren kun je Flash -voor zover ik weet- niet.

[1] https://www.security.nl/posting/437736/Flash+Player-gebruikers+ook+buiten+browser+aangevallen
[2] Zie https://www.security.nl/posting/437593/Eerste+beveiligingsupdates+voor+Windows+10+al+uitgerold#posting437653 maar lees ook mijn onderste bijdrage op die pagina.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.