Nieuws

Adobe patcht zero-day Flash-lek op 31 juli

vrijdag 24 juli 2009, 10:37 door Redactie, 6 reacties

Adobe zal volgende week vrijdag een zeer ernstig lek in Flash voor Mac OS X, Windows en Unix patchen. Via de kwetsbaarheid, die honderden miljoenen computers treft, infecteren cybercriminelen op dit moment kwetsbare systemen met malware. De Russische virusbestrijder Kaspersky Lab geeft gebruikers dan ook het advies om in afwachting op de patch Flash in Adobe Reader en de browser uit te schakelen. De aanval werkt zowel via PDF-bestanden als websites. Eén van de geïnfecteerde PDF-bestanden heeft als onderwerp de etnische rellen in de Chinese stad Urumqi. Volgens Kaspersky Lab is er indirect bewijs dat deze variant van de exploit al begin juli is gemaakt, mogelijk al op 2 juli, en bij verschillende gerichte aanvallen is ingezet.

Gebruikers van Adobe Reader en Acrobat 9.x krijgen van Adobe het advies om het authplay.dll bestand in de software te verwijderen, hernoemen of de toegang er toe te blokkeren. Dit zal er echter voor zorgen dat de applicatie crasht en een foutmelding geeft als men een PDF-bestand met Flash content opent. Vista gebruikers doen er daarnaast verstandig aan om UAC in te schakelen. Als laatste waarschuwt Adobe gebruikers om voorzichtig te zijn bij het bezoeken van onbetrouwbare websites.

Proxy
Tijdens de analyse van de malware die de exploit achterlaat, ontdekten onderzoekers van FireEye dat de code de proxy instellingen van de browser probeert te detecteren, om zo de malware met de Command & Controle server te laten communiceren, ook al zit de geïnfecteerde machine achter een proxy firewall. "Dit laat zien dat virusschrijvers zich bewust zijn van de netwerkconfiguraties binnen grote bedrijven en zich hier specifiek op richten", aldus onderzoeker Atif Mushtaq.

Volgens Mushtaq helpt het niet om de Javascript engine binnen Adobe Reader uit te schakelen. "De beste verdediging is om voorzichtig te zijn met het openen van bestanden van onbetrouwbare bronnen, hoewel dit in het geval van een drive-by aanval niet helpt." Zelf besloot de onderzoeker Flash helemaal van zijn systeem te verwijderen.

Helft security professionals niet blij met baan

Miljoen unieke virussen en wormen per maand

Reacties (6)

24-07-2009, 12:01 door Anoniem

http://milw0rm.com/exploits/9233

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Daar is de source van deze exploit, gewoon op Milw0rm

24-07-2009, 13:46 door Didier Stevens

Door Anoniem: http://milw0rm.com/exploits/9233

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Daar is de source van deze exploit, gewoon op Milw0rm

Nee, dat is hem niet, dit berust op een misverstand. Gisteren werden er op Twitter links naar hereEvil.pdf gepost, en die heeft str0ke opgenomen in Milw0rm.

Maar hereEvil.pdf bevat oudere exploits (zoals geticon),maar geen embedded flash. Embedded Flash in PDF wordt gedaan met de /RichMedia annotation subtype, en deze is niet te vinden in hereEvil.pdf

De PDF samples die ik verkregen heb bevatten wel een Flash exploit. De /RichMedia annotation subtype zit verborgen in een object stream (/ObjStm).

25-07-2009, 10:30 door Van Hoorne

over gatenkaas gesproken, het is elke keer weer raak met allerlei producten van Adobe.

30-07-2009, 10:48 door Spiff has left the building

24-07-2009,10:37 door Redactie: Adobe zal volgende week vrijdag [31-07-2009] een zeer ernstig lek in Flash voor Mac OS X, Windows en Unix patchen.

22/23-07-2009, door Adobe: Security advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.html
[...]
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending).
We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh and UNIX by July 31, 2009.
[...]

De Flash Player update wordt dus voor vandaag verwacht, 30-07-2009.
Voor morgen, 31-07-2009, wordt een update voor Adobe Reader en Acrobat verwacht.

30-07-2009, 23:43 door Spiff has left the building

Adobe Flash Player 10.0.32.18 is inmiddels beschikbaar.

31-07-2009, 01:21 door Spiff has left the building

30-07-2009, door Adobe: How to uninstall the Adobe Flash Player plug-in and ActiveX control
http://kb2.adobe.com/cps/141/tn_14157.html
Due to recent enhancements to the Adobe Flash Player installers, you can now remove the player only by using the Adobe Flash Player uninstaller.
[...]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer