Adobe komt met noodpatch voor nieuw Flash Player-lek
Adobe zal volgende week een noodpatch uitbrengen voor een ernstig lek in Flash Player dat actief door aanvallers wordt gebruikt om computers met malware te infecteren. De nieuwste kwetsbaarheid in de software werd deze week ontdekt tijdens aanvallen op verschillende ministeries.
De aanvallen vonden plaats via e-mails die een link bevatten. De link wees naar een website met een exploit die het lek in Flash Player gebruikte om de computer van het doelwit te besmetten. Adobe heeft nu bevestigd dat in de meest recente versie van Flash Player, versie 19.0.0.207, inderdaad een kritiek beveiligingslek zit dat bij een beperkt aantal gerichte aanvallen is gebruikt.
In de week van 19 oktober zal Adobe daarom met een noodpatch komen. Het zero day-lek werd precies op de dag gemeld dat Adobe versie 19.0.0.207 uitbracht, waarin 13 beveiligingslekken waren verholpen. Volgens anti-malwarebedrijf Malwarebytes is nu het moment om serieus te overwegen om Flash Player in de browser uit te schakelen of helemaal van de computer te verwijderen.
Reacties (13)
Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
Bij mij is Flash al standaard uitgeschakeld in de browser.
En dat blijft voorlopig zo.
Zelf uitschakelen in browser Google Chrome: typ in de adresbalk:
Ga daarna naar de Flashplugin en klik op de link "uitschakelen" daaronder. Sluit het tabblad en klaar.
En dat blijft voorlopig zo.
Zelf uitschakelen in browser Google Chrome: typ in de adresbalk:
chrome:plugins
en geef Return in.Ga daarna naar de Flashplugin en klik op de link "uitschakelen" daaronder. Sluit het tabblad en klaar.
Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem:
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
15-10-2015, 14:08 door
karma4
Door Anoniem:
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Eens, het moet allemaal eenvoudig snel en goedkoop afgeleverd worden. Daarbij gaat de security kwaliteit dat het beeld heft van moeilijk langdurig en kostbaar ten onder.Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem:
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Door Anoniem:
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Native of niet native zegt niets over wel of geen veiligheid. Daarin onderscheidt HTML5 zich echt niet van Flash.
Cross site scripting, Websocket msschien?
Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
Door Anoniem:
Native of niet native zegt niets over wel of geen veiligheid. Daarin onderscheidt HTML5 zich echt niet van Flash.
Cross site scripting, Websocket msschien?
Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
Door Anoniem:
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Door Anoniem:
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Native of niet native zegt niets over wel of geen veiligheid. Daarin onderscheidt HTML5 zich echt niet van Flash.
Cross site scripting, Websocket msschien?
Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
De software laag die browserplug-ins verzorgt staat bekend om haar complexiteit, met bugs in de code die ermee moet werken tot gevolg. Hoe complexer en groter software moet zijn, hoe groter de kans op bugs. Daarom is software die voor browserplug-ins is geschreven wel degelijker gevoeliger voor problemen dan software die native kan worden geschreven.
Hoewel HTML5 op zich niet veiliger hoeft te zijn dan Flash - ervan uitgaande dat de onderliggende complexiteit die nodig is voor alleen de core functionaliteit van beide niet veel verschilt - is HTML5 als native implementatie in de browser is wel degelijk veiliger dan Flash als browserplug-in.
Door Anoniem:
De software laag die browserplug-ins verzorgt staat bekend om haar complexiteit, met bugs in de code die ermee moet werken tot gevolg. Hoe complexer en groter software moet zijn, hoe groter de kans op bugs. Daarom is software die voor browserplug-ins is geschreven wel degelijker gevoeliger voor problemen dan software die native kan worden geschreven.
Hoewel HTML5 op zich niet veiliger hoeft te zijn dan Flash - ervan uitgaande dat de onderliggende complexiteit die nodig is voor alleen de core functionaliteit van beide niet veel verschilt - is HTML5 als native implementatie in de browser is wel degelijk veiliger dan Flash als browserplug-in.
Door Anoniem:
Native of niet native zegt niets over wel of geen veiligheid. Daarin onderscheidt HTML5 zich echt niet van Flash.
Cross site scripting, Websocket msschien?
Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
Door Anoniem:
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Door Anoniem:
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Door Anoniem: Het internet moet eigenlijk stoppen met het gebruik van Flashplayer en over schakelen naar HTML 5, er zijn zoveel problemen mee dat na een patch wel weer 500 nieuwe gaten open gaan.
HTML5 is net zo goed kwetsbaar als Flash dat is. Daar ligt de oorzaak ook niet. Die ligt bij het verlangen van consumenten diverse vormen van content te willen hebben in hun browser.
Dat is natuurlijk niet waar want HTML5 is in browsers niet als plug-in geïmplementeerd. De ellende met browser plug-ins is dat browser fabrikanten niet in staat zijn om de makers van plug-ins een veilige omgeving aan te bieden. Daarom komt de ene na de andere browserplug-in in de problemen. Nu is het Adobe Flash.
HTML5 wordt in browsers native geïmplementeerd en heeft derhalve niet de overhead en beveiligingsproblemen die programma's hebben die als browserplug-in zijn uitgevoerd.
Native of niet native zegt niets over wel of geen veiligheid. Daarin onderscheidt HTML5 zich echt niet van Flash.
Cross site scripting, Websocket msschien?
Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
De software laag die browserplug-ins verzorgt staat bekend om haar complexiteit, met bugs in de code die ermee moet werken tot gevolg. Hoe complexer en groter software moet zijn, hoe groter de kans op bugs. Daarom is software die voor browserplug-ins is geschreven wel degelijker gevoeliger voor problemen dan software die native kan worden geschreven.
Hoewel HTML5 op zich niet veiliger hoeft te zijn dan Flash - ervan uitgaande dat de onderliggende complexiteit die nodig is voor alleen de core functionaliteit van beide niet veel verschilt - is HTML5 als native implementatie in de browser is wel degelijk veiliger dan Flash als browserplug-in.
Weet niet waar jij het vandaan haalt maar de api's van de diverse browser zijn helder gedefinieerd. De argumenten die jij aan draagt zijn allesbehalve overtuigend.
Door Anoniem: Bij mij is Flash al standaard uitgeschakeld in de browser.
En dat blijft voorlopig zo.
Zelf uitschakelen in browser Google Chrome: typ in de adresbalk:
Ga daarna naar de Flashplugin en klik op de link "uitschakelen" daaronder. Sluit het tabblad en klaar.
Die kende ik nog niet.Bedankt voor de tip.Zojuist uitgevoerd. Nogmaals bedankt.En dat blijft voorlopig zo.
Zelf uitschakelen in browser Google Chrome: typ in de adresbalk:
chrome:plugins
en geef Return in.Ga daarna naar de Flashplugin en klik op de link "uitschakelen" daaronder. Sluit het tabblad en klaar.
Ik denk dat in de discussie hierboven een aantal zaken door elkaar worden gehaald.
Een browser heeft Add-ons.
Deze vallen uiteen in twee categorieën:
1) Browser Extensies.
2) Browser Plug-ins.
1a) Browser extensies vergroten de mogelijkheid van de browser zelf.
Voorbeelden: NoScript, AdBlockers, Ghostery.
2a) Plug-ins, zoals Flash en Silverlight, lenen alleen maar het 'canvas' van de browser,
(niet te verwarren met het begrip 'canvas' in HTML5) om dingen te laten zien.
Bijvoorbeeld een 'filmpje'.
Je mag ook zeggen dat ze alleen maar een 'display page' van de browser lenen.
1b) Hoewel extensies complete taken van de browser over kunnen nemen,
draaien zij in principe onder supervisie van de browser zelf.
(Om een extensie voor bijvoorbeeld Firefox gesigneerd te krijgen , moet o.a. de
source-code ter inzage aan Mozilla gegeven worden.)
2b) Hoe anders is dat bij een plug-in.
Als een plug-in eenmaal gestart is, heeft de browser daar geen enkele controle meer over.
(["plugin has the full permissions of the current user and is not sandboxed or shielded from malicious input in any way")
Het is voor de browser een 'black-box', waar we de fabrikant van de plug-in (Adobe, MS) maar moeten vertrouwen.
Ook de code van de plug-in is geen open source, dus niet te controleren.
Dit zijn dan ook de redenen dat Mozilla (Firefox) en Google (Chrome) van deze 'black-boxes'
(plug-ins) en hun interface (zoals NPAPI ) af willen.
Voor geïnteresseerden: Met die "malicious input" worden bijvoorbeeld content scripts en XMLHttpRequests bedoeld.
Groetjes,
The Fox.
Een browser heeft Add-ons.
Deze vallen uiteen in twee categorieën:
1) Browser Extensies.
2) Browser Plug-ins.
1a) Browser extensies vergroten de mogelijkheid van de browser zelf.
Voorbeelden: NoScript, AdBlockers, Ghostery.
2a) Plug-ins, zoals Flash en Silverlight, lenen alleen maar het 'canvas' van de browser,
(niet te verwarren met het begrip 'canvas' in HTML5) om dingen te laten zien.
Bijvoorbeeld een 'filmpje'.
Je mag ook zeggen dat ze alleen maar een 'display page' van de browser lenen.
1b) Hoewel extensies complete taken van de browser over kunnen nemen,
draaien zij in principe onder supervisie van de browser zelf.
(Om een extensie voor bijvoorbeeld Firefox gesigneerd te krijgen , moet o.a. de
source-code ter inzage aan Mozilla gegeven worden.)
2b) Hoe anders is dat bij een plug-in.
Als een plug-in eenmaal gestart is, heeft de browser daar geen enkele controle meer over.
(["plugin has the full permissions of the current user and is not sandboxed or shielded from malicious input in any way")
Het is voor de browser een 'black-box', waar we de fabrikant van de plug-in (Adobe, MS) maar moeten vertrouwen.
Ook de code van de plug-in is geen open source, dus niet te controleren.
Dit zijn dan ook de redenen dat Mozilla (Firefox) en Google (Chrome) van deze 'black-boxes'
(plug-ins) en hun interface (zoals NPAPI ) af willen.
Voor geïnteresseerden: Met die "malicious input" worden bijvoorbeeld content scripts en XMLHttpRequests bedoeld.
Groetjes,
The Fox.
Door Anoniem:
Weet niet waar jij het vandaan haalt maar de api's van de diverse browser zijn helder gedefinieerd. De argumenten die jij aan draagt zijn allesbehalve overtuigend.
Door Anoniem:
De software laag die browserplug-ins verzorgt staat bekend om haar complexiteit, met bugs in de code die ermee moet werken tot gevolg. Hoe complexer en groter software moet zijn, hoe groter de kans op bugs. Daarom is software die voor browserplug-ins is geschreven wel degelijker gevoeliger voor problemen dan software die native kan worden geschreven.
Hoewel HTML5 op zich niet veiliger hoeft te zijn dan Flash - ervan uitgaande dat de onderliggende complexiteit die nodig is voor alleen de core functionaliteit van beide niet veel verschilt - is HTML5 als native implementatie in de browser is wel degelijk veiliger dan Flash als browserplug-in.
Door Anoniem:Dat denken dat HTML5 veiliger zou zijn dan Flash is jezelf in de maling nemen.
De software laag die browserplug-ins verzorgt staat bekend om haar complexiteit, met bugs in de code die ermee moet werken tot gevolg. Hoe complexer en groter software moet zijn, hoe groter de kans op bugs. Daarom is software die voor browserplug-ins is geschreven wel degelijker gevoeliger voor problemen dan software die native kan worden geschreven.
Hoewel HTML5 op zich niet veiliger hoeft te zijn dan Flash - ervan uitgaande dat de onderliggende complexiteit die nodig is voor alleen de core functionaliteit van beide niet veel verschilt - is HTML5 als native implementatie in de browser is wel degelijk veiliger dan Flash als browserplug-in.
Weet niet waar jij het vandaan haalt maar de api's van de diverse browser zijn helder gedefinieerd. De argumenten die jij aan draagt zijn allesbehalve overtuigend.
Wanneer je zelf niet voldoende bent geïnformeerd moet je niet andermans argumenten in het vizier gaan nemen.
Door WikiPedia
NPAPI requires each plugin to implement and expose approximately 15 functions for initializing, creating, destroying and positioning plugin content. NPAPI also supports scripting, printing, full-screen plugins, windowless plugins and content streaming.
...
Google Chrome and Chromium: In September 2013, Google announced that it would phase out NPAPI support in Chrome during 2014 because "NPAPI's 90s-era architecture has become a leading cause of hangs, crashes, security incidents, and code complexity".[9][10] NPAPI support was removed from the Linux version of Chrome 35 and later, in May 2014.[11] Since April 2015, on Chrome for Windows and OS X versions 42 and later, NPAPI support is disabled by default but can be turned on in the settings. Google completely dropped NPAPI support from all platforms in Chrome 45, released in September 2015.[12]
NPAPI requires each plugin to implement and expose approximately 15 functions for initializing, creating, destroying and positioning plugin content. NPAPI also supports scripting, printing, full-screen plugins, windowless plugins and content streaming.
...
Google Chrome and Chromium: In September 2013, Google announced that it would phase out NPAPI support in Chrome during 2014 because "NPAPI's 90s-era architecture has become a leading cause of hangs, crashes, security incidents, and code complexity".[9][10] NPAPI support was removed from the Linux version of Chrome 35 and later, in May 2014.[11] Since April 2015, on Chrome for Windows and OS X versions 42 and later, NPAPI support is disabled by default but can be turned on in the settings. Google completely dropped NPAPI support from all platforms in Chrome 45, released in September 2015.[12]
Wat vind je niet overtuigend in dit verhaal?
Toen ik vanmorgen (vrijdag 9 uur) Flash Player downloadde, kreeg ik versie 19.0.0.226 met datum 15-10-2015. Kennelijk is er al een update.
19.0.0.226 is handmatig vanaf hier te downloaden:
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html
Onduidelijk is of dit de kwetsbaarheid verhelpt.
De "Adobe Adobe Flash Player Distribution" pagina laat momenteel nog versie 19.0.0.207 zien.
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html
Onduidelijk is of dit de kwetsbaarheid verhelpt.
De "Adobe Adobe Flash Player Distribution" pagina laat momenteel nog versie 19.0.0.207 zien.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
