Adobe dicht ernstige lekken in Flash Player en Acrobat Reader
Adobe heeft tijdens de geplande patchcyclus van augustus belangrijke updates voor Flash Player en Acrobat Reader uitgebracht die ernstige kwetsbaarheden verhelpen. Met name de update voor Adobe Reader en Acrobat valt op, aangezien die in totaal 67 beveiligingslekken oplost.
43 van de 67 kwetsbaarheden zijn als ernstig bestempeld, wat inhoudt dat een aanvaller hierdoor willekeurige code op het systeem kon uitvoeren als er een kwaadaardig pdf-bestand werd geopend. Via de overige lekken kon informatie worden achterhaald die voor verdere aanvallen kon worden gebruikt. Hoewel het volgens Adobe om kritieke kwetsbaarheden gaat, krijgen de updates een 'prioriteit 2'. In dit geval wordt gebruikers geadviseerd om de update de komende 30 dagen te installeren. Adobe stelt dat er geen aanvallen bekend zijn die van de kwetsbaarheden gebruikmaken en verwacht ook niet dat er op korte termijn exploits voor de nu gepatchte kwetsbaarheden zullen verschijnen.
Gebruikers krijgen het advies om naar Acrobat DC of Acrobat Reader versie 2017.012.20093, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30059, Acrobat DC of Acrobat Reader DC Classic versie 2015.006.30352 of Acrobat XI of Adobe Reader XI versie 11.0.21 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe.
Flash Player
In het geval van Adobe Flash Player zijn er twee kwetsbaarheden verholpen. Het gaat om een kwetsbaarheid waardoor een aanvaller willekeurige code kon uitvoeren en een 'security bypass', waarmee informatie voor verdere aanvallen kon worden achterhaald. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 26.0.0.151 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen.
In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.
En een duidelijke indicatie waarom je voor volgende week de software van Adobe van je computer af moet halen, en nooit meer installeren.
Ook nu zitten er ernstige beveiligingslekken in,. volgende week zal je dit zelfde soort bericht ook weer langs zien komen.
Gelukkig willen ze voor 2020 EOL van flash,. maar het kan niet snel genoeg imho.
en ben blij dat ik het verwijderd heb.
Bij slecht gestructureerde software leidt het herstellen van de ene fout tot een andere.
Structuur is meestal niet de belangrijkste oorzaak van kwetsbaarheden. Dit is waarschijnlijk in C geschreven, buffer overflows zijn waarschijnlijk de meest voorkomende reden. Dat valt te herstellen door boundary checks uit te voeren, maar ik vraag me wel af of dat is uitgevoerd een aantal jaren terug en of daar competent personeel voor is ingehuurd. Oude programmeurs kunnen dat meestal niet uit zichzelf. Je hebt er een heel andere kijk voor nodig.
Als je als hacker of als overheid die kwetsbaarheid wil uitbuiten, dan stuur je die malware toch enkel maar naar een gerichte target(s), zodat je onder de radar blijft van die detectiemechanismen die bepalen of er al dan niet een kwetsbaarheid uitgebuit werd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.