Adobe en Google dichten ernstige Flash-lekken
Adobe heeft een belangrijke beveiligingsupdate voor Flash Player uitgebracht, die twee lekken verhelpt waardoor aanvallers kwetsbare computers kunnen overnemen. Flash Player is naar schatting op 99% van alle op het internet aangesloten computers geïnstalleerd. Standaard zit het ook ingebed in Google Chrome. De zoekgigant bracht dan ook een nieuwe versie van de browser uit.
De twee kwetsbaarheden in Flash Player werden ontdekt door onderzoekers van Microsoft Vulnerability Research en een anonieme beveiligingsonderzoeker. Die verkocht zijn lek aan het TippingPoint's Zero Day Initiative, wat het vervolgens aan Adobe rapporteerde. Het gaat hier niet om het ernstige lek dat het Franse beveiligingsbedrijf VUPEN ontdekte. Via een kwetsbaarheid in Flash Player wisten ze Google Chrome te hacken en zo de Pwn2Own-hackerwedstrijd te winnen.
Chrome
Naast de twee lekken in Flash Player verhelpt Chrome 18.0.1025.142 negen andere kwetsbaarheden. Onderzoekers die hielpen met het vinden en verhelpen van de lekken kregen in totaal 4.000 dollar. Google betaalde een groep onderzoekers die voorkwamen dat er lekken in het 'stabiele kanaal' van de browser kwamen 8.000 dollar. Updaten naar de nieuwste versie gebeurt geheel automatisch.
Gebruikers van Adobe Flash Player krijgen het advies om naar versie 11.2.202.228 te updaten. De Flash Player voor Android 4.x zou niet kwetsbaar zijn.
Prio2
For AdobeAir is ook een nieuwe versie uitgekomen.
Windows
x64
Plugin: http://aihdownload.adobe.com/bin/install_flashplayer11x64_mssd_aih.exe
ActiveX: http://aihdownload.adobe.com/bin/install_flashplayer11x64ax_mssd_aih.exe
x32
Plugin: http://aihdownload.adobe.com/bin/install_flashplayer11x32_mssd_aih.exe
ActiveX: http://aihdownload.adobe.com/bin/install_flashplayer11x32ax_mssd_aih.exe
-> http://get.adobe.com/nl/flashplayer/otherversions/
interessant is dat er nu in het vervolg een mogelijkheid tot auto-update wordt geboden:
"An Update for the Flash Player Updater"
http://blogs.adobe.com/asset/2012/03/an-update-for-the-flash-player-updater.html
"Introducing Adobe Flash Player Background Updater for Windows"
http://www.adobe.com/devnet/flashplayer/articles/background-updater-windows.html
Met wat geluk kan dat gaan helpen het aantal lekke Flash Player installaties flink te verminderen.
Ik ben alleen nog benieuwd of dat nieuwe auto-update systeem ook werkt wanneer een gebruiker niet als Aministrator maar als Standaardgebruiker is ingelogd.
Gisteren ook al gemeld door onder meer GratisSoftware.nl
http://www.gratissoftwaresite.nl/downloads/Flash+Player+11.2.202.228+games+automatische+update+service
en door Spiff
http://www.security.nl/artikel/40915/1/Flash_Player_auto-update.html
En o,
ik zag nadat ik deze post geplaatst had,
dat de Security.nl redactie nu ook een artikel aan die nieuwe auto-updater heeft gewijd:
http://www.security.nl/artikel/40922/1/Adobe_gaat_Flash_Player_stilletjes_patchen.html
die downloadlinks leveren de installers voor een online installatie,
dezelfde als via http://get.adobe.com/flashplayer/
Voor wie de offline installers prefereert,
zie daarvoor mijn post van gisteren:
http://www.security.nl/artikel/40915/1/Flash_Player_auto-update.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
