image

Kritieke beveiligingsupdate voor Adobe Flash Player

vrijdag 13 maart 2015, 10:09 door Redactie, 12 reacties

Er is een kritieke beveiligingsupdate voor Adobe Flash Player verschenen die elf lekken verhelpt, waarvan negen een aanvaller volledige controle over de computer konden geven. Hierbij zou het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van besmette Flash-advertenties volstaan.

Via de resterende twee kwetsbaarheden kon een aanvaller de restrictie voor het uploaden van bestanden omzeilen, alsmede een cross-domain policy. Tien van de elf verholpen kwetsbaarheden werden door externe onderzoekers van onder andere Google, Intel Labs en NCC Group gevonden. Gebruikers op Windows en Mac krijgen het advies om binnen 72 uur naar Adobe Flash Player 17.0.0.134 te updaten. Dit kan via de automatische updatefunctie en Adobe.com.

In het geval van Internet Explorer 10 en 11 op Windows 8 en Windows 8.1 zal de embedded Flash Player automatisch worden bijgewerkt. Microsoft had de betreffende Flash-updates al op 10 maart uitgebracht, twee dagen voordat Adobe ze publiceerde. Ook in het geval van Chrome zal de embedded Flash Player automatisch worden bijgewerkt. Net als Microsoft publiceerde Google op 10 maart een nieuwe Chrome-versie, maar hierbij staat niet vermeld of de Flash-kwetsbaarheden zijn verholpen. Via deze Adobe-pagina kunnen internetgebruikers zien of en welke versie van Flash Player op hun systeem geïnstalleerd staat.

Reacties (12)
13-03-2015, 10:21 door [Account Verwijderd]
[Verwijderd]
13-03-2015, 11:48 door Anoniem
Er heeft een paniekvolgeltje liggen suffen.
Kritieke updates met een 72 uur update advies komen wel vaker voor.
Niets bijzonders, behalve dan dat het mooi zou zijn als er niet om de haverklap zulke kritieke gaten in zouden zitten.
13-03-2015, 11:58 door Erik van Straten - Bijgewerkt: 13-03-2015, 12:03
http://www.exploit-db.com/exploits/36360/ ("Author" sectie herschreven voor de leesbaarheid):
Adobe Flash Player ByteArray UncompressViaZlibVariant Use After Free
[...]
# This module requires Metasploit: http://metasploit.com/download
[...]
This module has been tested successfully on Windows 7 SP1 (32 bits), IE 8 to IE 11 and Flash 16.0.0.287, 16.0.0.257 and 16.0.0.235.
[...]
Author: 'Unknown', # Vulnerability discovery and exploit in the wild
[...]

Aanvulling 12:03: ik was wat te snel hiermee, de vorige versie van Flash is (bij mijn weten) 16.0.0.305 en die staat niet in het rijtje kwetsbare versies.
13-03-2015, 12:16 door [Account Verwijderd] - Bijgewerkt: 13-03-2015, 12:16
[Verwijderd]
13-03-2015, 12:22 door Pastafarist
Ik snap niet dat dit nog nieuws is... er is minimaal elke 4 weken een kritieke Flash update.

Deinstalleren die rommel :-)
13-03-2015, 12:30 door [Account Verwijderd] - Bijgewerkt: 17-03-2015, 22:57
[Verwijderd]
13-03-2015, 14:32 door 0101
@Krakatau Dat kan overigens ook in Firefox, via about:addons (Ctrl+Shift+A) en dan bij Plugins.
13-03-2015, 15:54 door [Account Verwijderd]
[Verwijderd]
13-03-2015, 20:41 door Anoniem
Flash,
Belachelijk, zo'n klein stukje code, een plug-in voor een browser van welk merk ook, en dat is al moeilijk ?? sinds zeer lange tijd !!
Het doel, het tonen van multimedia, met zoveel fouten. Met ongelooflijk veel crapware. Of je bent een prutser, of dit is slim voor marketing.
Zou ik mee aan moeten komen op m'n werk. Jarenlange fouten in zo'n belangeloos stukje code.
13-03-2015, 22:30 door Anoniem
Door Anoniem: Flash,
Belachelijk, zo'n klein stukje code, een plug-in voor een browser van welk merk ook, en dat is al moeilijk ?? sinds zeer lange tijd !!

Dat kleine stukje code is 16MB. Daar passen heel wat fouten in.
13-03-2015, 23:47 door [Account Verwijderd] - Bijgewerkt: 13-03-2015, 23:49
[Verwijderd]
16-03-2015, 11:20 door Mysterio
72 uur hè? Het is nu maandag en dit artikel is van vrijdag. Mijn testsysteem heeft de automatische updatefunctie aan staan en tot nu toe draait daar vrolijk de oude versie nog. En ja, ik heb de browsers gebruikt en Flash dingen bekeken en herstart... Als Adobe zo'n advies geeft mogen ze er op z'n minst voor zorgen dat die auto update fatsoenlijk zijn werk doet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.