Student Björn Ruytenberg van de Radboud Universiteit heeft opnieuw een beveiligingslek in Adobe Flash Player ontdekt waardoor aanvallers Windows-wachtwoorden van gebruikers hadden kunnen stelen. Het bezoeken van een kwaadaardige of gehackte website was hierbij voldoende geweest.
Eerder dit jaar ontdekte de student ook al een soortgelijke kwetsbaarheid, die al 10 jaar in Flash Player aanwezig bleek te zijn. Adobe kwam toen met een beveiligingsupdate en besloot bepaalde onderdelen van Flash Player uit te schakelen om de aanvalsvector te voorkomen. Het bleek namelijk mogelijk om via een kwaadaardige Flash-applicatie de gebruiker verbinding met een SMB-server op internet te laten maken, waarbij zijn Windows-wachtwoord werd doorgestuurd.
De maatregelen die Adobe destijds doorvoerde zijn echter te omzeilen, zo ontdekte Ruytenberg, waardoor het nog steeds mogelijk is om computers met een SMB-server verbinding te laten maken en zo het wachtwoord van de gebruiker te achterhalen. De aanval werkte alleen tegen Firefox en Internet Explorer, alsmede Microsoft Office 2010, 2013 en 2016. Gebruikers van Google Chrome en Edge waren niet kwetsbaar.
De student meldde de kwetsbaarheid op 11 februari van dit jaar bij het Zero Day Initiative van Trend Micro, dat onderzoekers betaalt voor het rapporteren van kwetsbaarheden. Trend Micro bevestigde de kwetsbaarheid eind april en waarschuwde vervolgens Adobe. Adobe kwam deze week in de vorm van Flash Player 26.0.0.151 met een update. Gebruikers krijgen dan ook het advies om deze update zo snel als mogelijk te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.