Adobe dicht 52 beveiligingslekken in Flash Player
Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin 52 beveiligingslekken zijn verholpen, waardoor een aanvaller in het ergste geval computers volledig kon overnemen. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Word-document met een Flash-object zou hiervoor voldoende zijn geweest. Verdere interactie is niet vereist.
Via 49 van de kwetsbaarheden kon een aanvaller een dergelijke aanval uitvoeren. Deze beveiligingslekken maakten het mogelijk om willekeurige code, zoals malware, op een computer met een kwetsbare Flash Player uit te voeren. De overige drie kwetsbaarheden veroorzaakten geheugenlekken en lieten een aanvaller bepaalde informatie achterhalen. Voor zover bekend worden de beveiligingslekken nog niet actief aangevallen. Uit de praktijk blijkt echter dat internetcriminelen kort na het verschijnen van beveiligingsupdates voor Flash Player hiermee beginnen.
Adobe adviseert gebruikers dan ook om binnen 72 uur naar Flash Player versie 22.0.0.209 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.
Weg ermee!
mammie is ZO trots op je..
Weg ermee!
mammie is ZO trots op je..
Weg ermee!
mammie is ZO trots op je..
Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.
Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)
Oud of nieuw, denk jij dat dit de laatste lek zal zijn ?
Mocht jij ook om onduidelijke redenen geen (standalone) Flashplayer / flashplayer update meer kunnen installeren omdat het install-icoon een tijd open neer springt in je dock om vervolgens niets meer te doen omdat de installer vastloopt.
Wat het veroorzaakt is onduidelijk, op het ene systeem werkt het wel en op het andere weer niet, maar je kan er eenvoudig omheen werken.
Oplossing :
- Open de dmg file van flash (install_flash_player_osx.dmg)
- Cntrl of rechtermuisklik op de "Install Adobe Flash Player.app" en kies voor pakketinhoud weergeven.
- Nu is het zaak op zoek te gaan naar het volgende bestand in de mapjes
"Adobe Flash Player.pkg"
Dit is het hele pad
/Volumes/Flash Player/Install Adobe Flash Player.app/Contents/Resources/Adobe Flash Player.pkg
Dus mapje contents openen, mapje Resources openen.
- Klik dit installatie-component aan "Adobe Flash Player.pkg" en de installer zal beginnen.
- Klik in het eerste venster dat verschijnt desgewenst rechtsboven het certificaatweergaveblokje aan om er zeker van te zijn dat het certificaat klopt.
- Klik op installeren en de nieuwe Flashplayer zal zich installeren.
Opgelost.
Voel je vrij om als je een online Adobe account hebt daar in te loggen en het antwoord daar te plaatsen.
Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.
Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)
Ik praat niks goed hoor. Maar soms zitten er legitieme redenen achter. Ik draai hier nog op een server java 8u77 omdat de site van een zeer grote bank (schandelig eigenlijk!) niet werkt met de laatste java8u91. Dit is wel een andere server dan waar gebruikers regulier op werken om de attack vector kleiner te houden, maar de verouderde software is wel nodig.
In het geval van jouw bedrijf zal er waarschijnlijk geen budget zijn om nostalgische (waarschijnlijk voor het bedrijf zelf geschreven) pakketten te vervangen die alleen werken op oude java/flash versies. Hier kan een ITer vaak niet veel aan doen maar er wordt door het management besloten die software niet te vernieuwen. Een ITer zou natuurlijk wel het e.e.a. kunnen afbakenen om te zorgen dat die oude java/flash versies niet aangeroepen kunnen worden door externe sites of het op een compleet afgescheiden systeem kunnen installeren en de browser en plugins met remoteapp oid kunnen aanroepen.
In heel veel bedrijven kom je niet onder verouderde software uit. Maar het is wel de taak aan de ITer om beveiligingsrisico's zoveel mogelijk te mitigeren.
Ik denk dat jij vergeet dat er meer is dan het simpel weg updaten van applicaties. Voor een IT'er is dit een simpele klus. Het zijn meestal de KA pakketten welke niet overweg kunnen met de updates. Het komt regelmatig voor dat na een update bepaalde zaken niet meer werken. Je kan de bal neerleggen bij de leveranciers, en die verschuilen zich achter lange test trajecten. Je zult als bedrijf zaken moeten afwegen en op andere lagen security moeten aanbrengen welke er voor kan zorgen dat je niet vatbaar bent voor exploits.
Het meeste gevaar komt vanuit de eindgebruiker, veel door internetten of besmette bijlages. Meestal door niet werk gerelateerd websites of vage mailtjes die ze uiteraard openen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
