Adobe dicht ernstige lekken in Reader en Shockwave Player
Naast de noodpatch voor Flash Player die vanochtend verscheen heeft Adobe vandaag ook belangrijke updates voor Adobe Reader, Acrobat en Shockwave Player uitgebracht die ernstige lekken in de software verhelpen, wat inhoudt dat honderden miljoenen internetgebruikers updates moeten installeren.
De grootste update is voor Reader en Acrobat. In totaal heeft Adobe in beide PDF-lezers 46 kwetsbaarheden verholpen, waarvan er 24 het voor een aanvaller mogelijk maakten om code op de computer uit te voeren. Via de overige lekken was het mogelijk om informatie te achterhalen, rechten te verhogen, een Denial of Service te veroorzaken en maatregelen die het uitvoeren van JavaScript moesten beperken te omzeilen.
Adobe verwacht echter niet dat er op korte termijn aanvallen zullen plaatsvinden die van de kwetsbaarheden gebruik maken. Gebruikers krijgen dan ook het advies om binnen 30 dagen naar versies 10.1.15 of 11.0.12 te upgraden. In het geval van de Flash Player-update werd aangeraden die binnen 72 uur te installeren. Updaten naar de meest recente versie van Acrobat of Reader kan via de automatische updatefunctie of de website van Adobe.
Shockwave Player
Hoewel Flash Player met name de afgelopen week in de schijnwerpers stond, heeft Adobe ook nog een andere plug-in die op grote schaal wordt gebruikt. Het gaat om de Shockwave Player. Volgens het softwarebedrijf is deze plug-in op meer dan 450 miljoen computers geïnstalleerd. Twee beveiligingslekken in de software maken het mogelijk voor een aanvaller om het onderliggende systeem volledig over te nemen. In tegenstelling tot Flash Player en Adobe Reader beschikt Shockwave Player niet over een automatische updatefunctie. Gebruikers wordt daarom aangeraden binnen 72 uur de update naar versie Shockwave Player 12.1.9.159 te installeren, wat kan via de website van Adobe.
Flash Player
Hoewel de beveiligingsupdates voor Flash Player vanochtend al waren te downloaden, heeft Adobe nu pas de bijbehorende security advisories gepubliceerd. Daarin wordt gewaarschuwd voor de twee beveiligingslekken waarover het Italiaanse HackingTeam beschikte. Deze kwetsbaarheden zijn aanwezig in Flash Player 18.0.0.204 en ouder. Gebruikers krijgen het advies om binnen 72 uur de update naar Flash Player 18.0.0.209 te installeren. Dit kan via de automatische updatefuntie en het Adobe downloadcentrum. Hoewel Flash Player door de recent ontdekte zero day-lekken onder vuur ligt, is het volgens Adobe nog altijd op meer dan 1 miljard desktops geïnstalleerd.
Het zijn gratis producten, dus [i/buyer beware[/i].
Het grootste manco zit in de gebrekkige sandboxing van operating systems. Die smijten alle rechten die de user heeft (file system access, network access, scherm-access en applicatie-access) en verwachten dan dat die applicatie zorgvuldig omgaat met die rechten.
Kies een operating system dat by default geen rechten weggeeft en je kunt brakke interpreters zoals flash, acrobat, word, etc veilig draaien. http://genode.org.
Elke interpreter in zijn eigen sandbox!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
