Ernstig Flash Player-lek in Windows 8 gepatcht
Terwijl Windows 8 nog niet officieel is verschenen, heeft Microsoft wel besloten een ernstig beveiligingslek in de ingebedde Flash Player te patchen dat actief wordt misbruikt. Op 21 augustus verhielp Adobe verschillende ernstige lekken waardoor aanvallers via Flash Player het onderliggende systeem kunnen overnemen. Voor Windows 7, Vista en XP verscheen een update, maar niet voor Windows 8. Microsoft liet weten dat het op 26 oktober met een update zou komen, wat voor grote kritiek zorgde.
Het probleem voor Windows 8-gebruikers is dat alleen Microsoft de in IE10 ingebakken Flash Player kan updaten. Hiermee volgt Microsoft het voorbeeld van Google, dat Flash Player ook in Chrome verwerkte en nu verantwoordelijk voor de updates is. Google bracht echter op dezelfde dag als Adobe een update uit.
Internet Explorer
Microsoft adviseert Windows 8-gebruikers die Internet Explorer niet gebruiken om de update toch te installeren. Andere applicaties zoals Office 2007 en 2010 kunnen de Adobe Flash Player in Internet Explorer aanroepen, waardoor een aanval nog steeds succesvol kan zijn. De update is onder andere beschikbaar voor Windows 8 Release Preview en Windows Server 2012 Release Candidate, aangezien die beiden kwetsbaar zijn.
Volgens Microsoft wordt één van de verholpen kwetsbaarheden actief misbruikt om op systemen in te breken. Alle Windows 8-gebruikers krijgen dan ook het advies om de update meteen toe te passen.
Ik heb er nog niks over kunnen vinden.
Zou Flash Player ook in IE10 voor Windows 7 embedded worden, en Microsoft zou na Flash updates IE10 steeds zo laat blijven updaten, dan lijkt me dat vrij rampzalig.
dus je kan in windows 8 totaal geen flash player gebruiken lekker is dat.
dan door mij maar even een
UPDATE:
Inmiddels heeft Microsoft Flash Player in IE10 onder Windows 8 al twee keer wél op tijd gepatcht.
Er lijkt daardoor nu weinig reden om erg bezorgd te zijn over het patchgedrag van Microsoft betreffend Flash Player in IE10 onder Windows 8.
http://www.security.nl/artikel/43405/
http://www.security.nl/artikel/43832/
Daarnaast ook heel interessant is dat in IE10 voor Windows 7 Flash Player niet geïntegreerd blijkt te zijn.
Zie deze (verder ook informatieve) berichten over de IE10 Preview voor Windows 7:
http://www.ghacks.net/2012/11/13/internet-explorer-10-preview-for-windows-7-released/
http://betanews.com/2012/11/13/internet-explorer-10-release-preview-for-windows-7-first-impressions-review/
http://www.theregister.co.uk/2012/11/14/microsoft_offers_ie10_preview_for_win7/
Daarin wordt onder meer aangegeven:
"Flash is not installed natively in Internet Explorer 10 for Windows 7"
Uitstekend, vind ik. Dat in IE10 voor Windows 7 Flash Player niet geïntegreerd is, dat is mooi voor iedereen die graag zélf controle heeft over wat geïnstalleerd wordt en hoe en wanneer dat wordt geupdate.
Het bovenstaande is eerder al hier vermeld:
http://www.security.nl/artikel/43330/1/Flash_Player_integratie_IE10.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
