image

Google maakt gehakt van Adobe Flash Player

dinsdag 9 oktober 2012, 09:20 door Redactie, 7 reacties

Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin het tenminste 25 ernstige beveiligingslekken heeft verholpen waardoor een aanvaller het onderliggende systeem kan overnemen. 24 van de 25 kwetsbaarheden werden ontdekt door het Google Security Team. Volgens het Franse beveiligingsbedrijf VUPEN houdt dat mogelijk verband met de Pwnium hackerwedstrijd die morgen van start gaat.

Daar kunnen hackers en beveiligingsonderzoekers 2 miljoen dollar verdienen door lekken in Google Chrome te vinden. Flash Player is een standaard onderdeel van Chrome en is tijdens een andere wedstrijd al een keer via de ingebouwde mediaspeler gehackt. Iets wat Google met het beveiligingsonderzoek naar Flash Player geen tweede keer wil laten gebeuren.

De 25e kwetsbaarheid werd ontdekt door 'Dark Son of Code Audit Labs'. Het werkelijke aantal verholpen beveiligingslekken kan veel hoger liggen, aangezien Adobe geen kwetsbaarheden rapporteert die het zelf vindt.

Update
De updates zijn voor verschillende platformen verschenen. In het geval van Windows krijgen beheerders en gebruikers het advies om de update binnen 48 uur te installeren. Voor Internet Explorer 10 op Windows biedt Microsoft de update via Windows Update aan.

Onlangs kreeg de softwaregigant nog felle kritiek te verduren omdat het een ander lek in Flash Player in IE10 pas op 26 oktober wilde patchen, ook al had Adobe Zelf al wel een update uitgebracht. Uiteindelijk werd die update toch eerder uitgebracht. Een overzicht van alle nieuwe versies is in de advisory te vinden.

Reacties (7)
09-10-2012, 10:12 door Pastafarist
What else is new, er worden continu ernstige beveiligingslekken in Flash gevonden en gepatched. Ik heb Flash daarom ook al lang verwijderd van mijn systeem.
Hetzelfde geldt voor Acrobat Reader.

Voor de enkele keer dat ik Flash toch nodig heb gebruik ik Chrome - met ingebouwde flash (en de block-flash extension.)
09-10-2012, 10:18 door Fwiffo
Ik ben helemaal ontregeld. Ik dacht eerst Thunderbird updaten (hè, geen update nog). Toen bootte ik naar Windows om Windows te updaten, maar het is pas vanavond zo ver! Kan die Pwnium niet een dag later volgend jaar ;-)
09-10-2012, 10:31 door Spiff has left the building
Door Davide, 10:12 uur:
What else is new
Nou, dat Microsoft nu keurig onmiddellijk een update biedt voor de in IE10 geïntegreerde Flash Player,
dat is nieuw,
vergeleken met de vorige keer:
http://www.security.nl/artikel/42976/1/Windows_8_kwetsbaar_door_missende_Flash-update.html
http://www.security.nl/artikel/43206/1/Ernstig_Flash_Player-lek_in_Windows_8_gepatcht.html

En dat geeft goeie hoop in relatie tot de
http://www.security.nl/artikel/43330/1/Flash_Player_integratie_IE10.html
09-10-2012, 10:52 door WhizzMan
Zowaar zelfs een verse linuxversie. Ik ben benieuwd of ze stiekem ook nog "gewone" bugs gefikst hebben.
09-10-2012, 18:18 door ernie
Ik zit me te bedenken waar je Flash allemaal voor nodig hebt. Voor veel mensen is het niet meer dan een veredelde videoplayer. Het zou toch simpeler (veiliger) moeten kunnen... al zal HTML5 dat probleem wellicht enigzins aanpakken (en nieuwe introduceren)
10-10-2012, 10:36 door majestic
Door Spiff:
Door Davide, 10:12 uur:
What else is new
Nou, dat Microsoft nu keurig onmiddellijk een update biedt voor de in IE10 geïntegreerde Flash Player,
dat is nieuw,
vergeleken met de vorige keer:
http://www.security.nl/artikel/42976/1/Windows_8_kwetsbaar_door_missende_Flash-update.html
http://www.security.nl/artikel/43206/1/Ernstig_Flash_Player-lek_in_Windows_8_gepatcht.html

En dat geeft goeie hoop in relatie tot de
http://www.security.nl/artikel/43330/1/Flash_Player_integratie_IE10.html


Wat een gehuil over een OS die pas op de 26ste deze maand officieel gereleased word.

Oh en voeg even toe dat de flash exploit niet werkt eop IE10 64bit. Dat er dus niets mis is met IE10's beveiliging of Windows 8's beveiliging.
10-10-2012, 11:15 door Spiff has left the building
Door majestic:
Wat een gehuil over een OS die pas op de 26ste deze maand officieel gereleased word.
Gehuil ?
Niks gehuil.
Ik vind het alleen maar goed dat Microsoft nu onmiddellijk een update bood voor de onder Windows 8 in IE10 geïntegreerde Flash Player.
Ik snap daarom niks van je rare 'gehuil' opmerking.

Bij de rest van je opmerkingen van 10:36 uur:
Dat een OS nog in het preview stadium is, ontslaat de aanbieder niet van normaal onderhoud zoals het leveren van patches. In de preview fase mag of moet immers ook onder meer het updaten beoordeeld kunnen worden.
En dat een kwetsbare applicatie binnen een bepaald OS of binnen een bepaalde configuratie niet onmiddellijk te exploiteren zou zijn, dat neemt niet weg dat het algemeen gangbaar is om toch wel degelijk te patchen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.