image

Trend Micro: nieuw Flash-lek zelfde oorzaak als oudere lekken

vrijdag 26 juni 2015, 11:50 door Redactie, 9 reacties

Het nieuwste beveiligingslek in Adobe Flash Player waarvoor deze week een noodpatch verscheen heeft dezelfde oorzaak als eerdere kwetsbaarheden in de populaire browserplug-in. Dat stelt het Japanse anti-virusbedrijf Trend Micro na analyse. Deze week werd de kwetsbaarheid met he CVE-nummer 2015-3113 gepatcht, nadat het lek eerder bij gerichte aanvallen was gebruikt. Volgens onderzoekers lijkt het lek erg op CVE-2015-3043 dat Adobe in april patchte.

Beide kwetsbaarheden veroorzaken een buffer overflow. Daarnaast blijkt dat een exploit voor het lek uit april ook versie 18.0.0.160 kon laten crashen (de laatste Flash Player-versie voordat de noodpatch deze week verscheen). Beide kwetsbaarheden vinden hun oorzaak in het verwerken van FLV-audio met de Nellymoser-codec en kunnen via een speciaal geprepareerde audio-tag van een FLV-bestand worden aangevallen.

"Dit incident laat zien hoe belangrijk het zorgvuldig ontwikkelen van patches is, om te voorkomen dat gepatchte kwetsbaarheden op een later moment opnieuw worden aangevallen", aldus de onderzoekers. Die stellen verder dat softwareontwikkelaars regressie-tests moeten uitvoeren, om te voorkomen dat oude bugs geen bedreiging voor nieuwe versies van de software vormen.

E-mail

Het was al eerder deze week bekend geworden dat de aanvallers links in e-mails gebruikten om doelwitten naar een kwaadaardige pagina te lokken waar het Flash Player-lek vervolgens werd aangevallen. Beveiligingsbedrijf Websense stelt dat de gebruikte e-mails als onderwerp "2015 Program Kick Off" hadden. In de tekst werd gesteld dat de ontvanger voor een bijeenkomst was uitgenodigd. Via de meegestuurde link was er meer informatie over de bijeenkomst te vinden. De aanvallers zouden zich vooral op de technologische- en wetenschapssector hebben gericht.

Reacties (9)
26-06-2015, 12:59 door Anoniem
een speciaal geprepareerde audio-tag

"Ok, Google..."
26-06-2015, 13:11 door dutchfish
Het lijkt er op dat dit met op tijd patchen niet meer is bij te benen. Verder heeft MS voor hun browser onlangs patches via WSUS gedistribueerd. In de CVE's geen opmerkelijk dingen. Wel steeds meer broddelwerk.

Het wordt tijd dat we hier voorgoed vanaf raken. Patches maar 'vergeten' (die van gedateerde datum zijn) vanwege performance issues is 'evil'.
26-06-2015, 13:57 door Anoniem
Het is hoog tijd dat we Adobe Flash Player massaal van onze computers gaan verwijderen. Het is net als Oracles Java per definitie zeer onveilige software,er zijn al zoveel aanvallen en idem patches geweest,het is genoeg geweest.Ik haal het van mn computers af,sterker nog het moet van alle apparaten af.Ik denk dat mobiele devices als android telefoons en tabletten er ook niet veiliger op worden met adobe flash player.
26-06-2015, 16:52 door 0101 - Bijgewerkt: 26-06-2015, 16:52
Door Anoniem: Het is hoog tijd dat we Adobe Flash Player massaal van onze computers gaan verwijderen. Het is net als Oracles Java per definitie zeer onveilige software,er zijn al zoveel aanvallen en idem patches geweest,het is genoeg geweest.Ik haal het van mn computers af,sterker nog het moet van alle apparaten af.Ik denk dat mobiele devices als android telefoons en tabletten er ook niet veiliger op worden met adobe flash player.
In mijn ervaring is het op click-to-play zetten van Flash (zie https://www.security.nl/posting/422149/Internet%20met%20en%20zonder%20Adobe%20Flash%20Player) een prima tussenoplossing; voor die paar sites die toch Flash nodig hebben kun je het gemakkelijk weer inschakelen en de belangrijkste sites ondersteunen tegenwoordig een op HTML5 gebaseerd alternatief voor het afspelen van video's. Het enige nadeel is dat sommige websites niet terugvallen op HTML5-video als ze detecteren dat je ook Flash hebt geïnstalleerd. Maar daar kan ik mee leven.
26-06-2015, 23:06 door Anoniem
Door Anoniem: Het is hoog tijd dat we Adobe Flash Player massaal van onze computers gaan verwijderen. Het is net als Oracles Java per definitie zeer onveilige software,er zijn al zoveel aanvallen en idem patches geweest,het is genoeg geweest.Ik haal het van mn computers af,sterker nog het moet van alle apparaten af.Ik denk dat mobiele devices als android telefoons en tabletten er ook niet veiliger op worden met adobe flash player.

Mijn god! De Java bashing club heeft een nieuw slachtoffer gevonden: Adobe Flash.

Men haalt het van al hun computers af en men vindt dat de wereld beter af is zonder, zo wordt er gepredikt.

Adobe Flash heeft het eventjes moeilijk, zoals alle populaire software. Uiteindelijk is het zoals alle software, die fouten bevat. Dus altijd onmiddellijk updaten en alleen in browsers gebruiken wanneer je het nodig hebt. Click-to-pay is een perfecte middenweg hiervoor.
27-06-2015, 14:21 door Anoniem
Door Anoniem: Het is hoog tijd dat we Adobe Flash Player massaal van onze computers gaan verwijderen. Het is net als Oracles Java per definitie zeer onveilige software,er zijn al zoveel aanvallen en idem patches geweest,het is genoeg geweest.Ik haal het van mn computers af,sterker nog het moet van alle apparaten af.Ik denk dat mobiele devices als android telefoons en tabletten er ook niet veiliger op worden met adobe flash player.

Hoog tijd dat onwetenden zich van commentaar onthouden.
29-06-2015, 13:09 door Anoniem
Door Anoniem:
Door Anoniem: Het is hoog tijd dat we Adobe Flash Player massaal van onze computers gaan verwijderen. Het is net als Oracles Java per definitie zeer onveilige software,er zijn al zoveel aanvallen en idem patches geweest,het is genoeg geweest.Ik haal het van mn computers af,sterker nog het moet van alle apparaten af.Ik denk dat mobiele devices als android telefoons en tabletten er ook niet veiliger op worden met adobe flash player.

Hoog tijd dat onwetenden zich van commentaar onthouden.

Inderdaad... Want hiermee jagen ze mensen weg (zag dat o.a. Krakatau het account heeft opgezegd).
29-06-2015, 13:19 door Anoniem
Door Anoniem: Mijn god! De Java bashing club heeft een nieuw slachtoffer gevonden: Adobe Flash.

Men haalt het van al hun computers af en men vindt dat de wereld beter af is zonder, zo wordt er gepredikt.

Adobe Flash heeft het eventjes moeilijk, zoals alle populaire software. Uiteindelijk is het zoals alle software, die fouten bevat. Dus altijd onmiddellijk updaten en alleen in browsers gebruiken wanneer je het nodig hebt. Click-to-pay is een perfecte middenweg hiervoor.

Flash heeft het niet 'eventjes moeilijk', dit is al minstens 10 jaar het geval, net zoals bij Java (in de browser) en Adobe Reader. Het is gewoon onveilige troep. Sun (en nu Oracle) en Adobe maken gewoon geen veilige software noch willen ze het, performance en marktaandeel (lees: compatibility & features) is veel belangrijker. Het is echt geen toeval dat Adobe Flash, Adobe Acrobat Reader en Java al minstens 10 jaar de top #3 van infectie-vectoren zijn. En natuurlijk is er veel aandacht voor, juist wegens het marktaandeel, maar zeker hoe issues in Java en Flash halfslachtig, laks en enorm traag gepatcht worden, zakt mn broek van af. En nee, ik ben niet dezelfde 'anoniem' :)
29-06-2015, 15:05 door Anoniem
Door Anoniem:
Door Anoniem: Mijn god! De Java bashing club heeft een nieuw slachtoffer gevonden: Adobe Flash.

Men haalt het van al hun computers af en men vindt dat de wereld beter af is zonder, zo wordt er gepredikt.

Adobe Flash heeft het eventjes moeilijk, zoals alle populaire software. Uiteindelijk is het zoals alle software, die fouten bevat. Dus altijd onmiddellijk updaten en alleen in browsers gebruiken wanneer je het nodig hebt. Click-to-pay is een perfecte middenweg hiervoor.

Het is echt geen toeval dat Adobe Flash, Adobe Acrobat Reader en Java al minstens 10 jaar de top #3 van infectie-vectoren zijn.

De gemene deler van die opsomming is browserplug-in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.