image

Adobe dicht 52 beveiligingslekken in Flash Player

woensdag 13 juli 2016, 09:30 door Redactie, 12 reacties

Adobe heeft een nieuwe versie van Flash Player uitgebracht waarin 52 beveiligingslekken zijn verholpen, waardoor een aanvaller in het ergste geval computers volledig kon overnemen. Het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Word-document met een Flash-object zou hiervoor voldoende zijn geweest. Verdere interactie is niet vereist.

Via 49 van de kwetsbaarheden kon een aanvaller een dergelijke aanval uitvoeren. Deze beveiligingslekken maakten het mogelijk om willekeurige code, zoals malware, op een computer met een kwetsbare Flash Player uit te voeren. De overige drie kwetsbaarheden veroorzaakten geheugenlekken en lieten een aanvaller bepaalde informatie achterhalen. Voor zover bekend worden de beveiligingslekken nog niet actief aangevallen. Uit de praktijk blijkt echter dat internetcriminelen kort na het verschijnen van beveiligingsupdates voor Flash Player hiermee beginnen.

Adobe adviseert gebruikers dan ook om binnen 72 uur naar Flash Player versie 22.0.0.209 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.

Reacties (12)
13-07-2016, 09:57 door Anoniem
Op mijn systeem, geen flash en geen java meer aanwezig.
Weg ermee!
13-07-2016, 10:05 door Anoniem
aaaand here we go again. gelukkig maar 1300 systemen en geen patchbeleid of mechanisme.
13-07-2016, 10:12 door potshot
Door Anoniem: Op mijn systeem, geen flash en geen java meer aanwezig.
Weg ermee!

mammie is ZO trots op je..
13-07-2016, 10:47 door Anoniem
Door potshot:
Door Anoniem: Op mijn systeem, geen flash en geen java meer aanwezig.
Weg ermee!

mammie is ZO trots op je..
Jawel mijn jongen, dat weet ik!
13-07-2016, 12:50 door Anoniem
Door potshot:
Door Anoniem: Op mijn systeem, geen flash en geen java meer aanwezig.
Weg ermee!

mammie is ZO trots op je..
Geweldige opmerking, je zult wel trots op je zelf zijn, heel verstandig trouwens flash in je brouwser uit te schakelen.
13-07-2016, 13:06 door Anoniem
Op mijn werk duizenden oude Java-engines, verouderde Flash plug-ins, Internet Explorer 9, en... last but not least: een zwaar verouderde Adobe Reader. Ik heb al lang geleden dit alles aangekaart bij de ICT-afdeling aldaar, en dat er een enorm veiligheidsrisico aan vast zit, maar 3 jaar ná de eerste melding is er nog steeds niets veranderd: we werken nog steeds met die ouwe zooi!

Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.

Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)
13-07-2016, 15:37 door Anoniem
Door Anoniem:we werken nog steeds met die ouwe zooi!

Oud of nieuw, denk jij dat dit de laatste lek zal zijn ?
13-07-2016, 16:08 door Anoniem
Oplossing : Installatie probleem onder OS X

Can't install update on OS X

https://forums.adobe.com/thread/2174147

Mocht jij ook om onduidelijke redenen geen (standalone) Flashplayer / flashplayer update meer kunnen installeren omdat het install-icoon een tijd open neer springt in je dock om vervolgens niets meer te doen omdat de installer vastloopt.
Wat het veroorzaakt is onduidelijk, op het ene systeem werkt het wel en op het andere weer niet, maar je kan er eenvoudig omheen werken.

Oplossing :

- Open de dmg file van flash (install_flash_player_osx.dmg)
- Cntrl of rechtermuisklik op de "Install Adobe Flash Player.app" en kies voor pakketinhoud weergeven.
- Nu is het zaak op zoek te gaan naar het volgende bestand in de mapjes
"Adobe Flash Player.pkg"

Dit is het hele pad
/Volumes/Flash Player/Install Adobe Flash Player.app/Contents/Resources/Adobe Flash Player.pkg

Dus mapje contents openen, mapje Resources openen.
- Klik dit installatie-component aan "Adobe Flash Player.pkg" en de installer zal beginnen.
- Klik in het eerste venster dat verschijnt desgewenst rechtsboven het certificaatweergaveblokje aan om er zeker van te zijn dat het certificaat klopt.
- Klik op installeren en de nieuwe Flashplayer zal zich installeren.

Opgelost.

Voel je vrij om als je een online Adobe account hebt daar in te loggen en het antwoord daar te plaatsen.
13-07-2016, 16:56 door Anoniem
Door Anoniem: Op mijn werk duizenden oude Java-engines, verouderde Flash plug-ins, Internet Explorer 9, en... last but not least: een zwaar verouderde Adobe Reader. Ik heb al lang geleden dit alles aangekaart bij de ICT-afdeling aldaar, en dat er een enorm veiligheidsrisico aan vast zit, maar 3 jaar ná de eerste melding is er nog steeds niets veranderd: we werken nog steeds met die ouwe zooi!

Op het moment dat ik het aankaartte was de ICT'er geïrriteerd over mijn "bemoeienis". Hij zei er ook nog bij (als excuus) dat bijvoorbeeld Java 6 update 31 nog gebruikt werd "omdat anders bepaalde applicaties niet meer zouden werken". Wat zijn excuus was voor een prehistorische Flash plug-in, een zwaar verouderde en niet meer ondersteunde IE9 heb ik niet mogen horen. Ik wil het eigenlijk ook niet weten. Maar waar ik wèl verbolgen over ben is dat men, omwille van het laten blijven werken van zwaar verouderde software het veiligheidsaspect volledig laat varen. Dat gaat op een dag geheid een keer mis. Je kunt er je klok op gelijk zetten.

Maar weet je.... zoek het lekker uit. ICT'ers en managers weten het altijd beter. Ondertussen blijf ik, als "gewone" medewerker, lekker doen alsof ik nergens verstand van heb. Want dat is wat men wil... ;-)

Ik praat niks goed hoor. Maar soms zitten er legitieme redenen achter. Ik draai hier nog op een server java 8u77 omdat de site van een zeer grote bank (schandelig eigenlijk!) niet werkt met de laatste java8u91. Dit is wel een andere server dan waar gebruikers regulier op werken om de attack vector kleiner te houden, maar de verouderde software is wel nodig.

In het geval van jouw bedrijf zal er waarschijnlijk geen budget zijn om nostalgische (waarschijnlijk voor het bedrijf zelf geschreven) pakketten te vervangen die alleen werken op oude java/flash versies. Hier kan een ITer vaak niet veel aan doen maar er wordt door het management besloten die software niet te vernieuwen. Een ITer zou natuurlijk wel het e.e.a. kunnen afbakenen om te zorgen dat die oude java/flash versies niet aangeroepen kunnen worden door externe sites of het op een compleet afgescheiden systeem kunnen installeren en de browser en plugins met remoteapp oid kunnen aanroepen.

In heel veel bedrijven kom je niet onder verouderde software uit. Maar het is wel de taak aan de ITer om beveiligingsrisico's zoveel mogelijk te mitigeren.
13-07-2016, 22:40 door Anoniem
Flexit
14-07-2016, 08:16 door Anoniem
Door Anoniem: Op mijn werk duizenden oude Java-engines, verouderde Flash plug-ins

Ik denk dat jij vergeet dat er meer is dan het simpel weg updaten van applicaties. Voor een IT'er is dit een simpele klus. Het zijn meestal de KA pakketten welke niet overweg kunnen met de updates. Het komt regelmatig voor dat na een update bepaalde zaken niet meer werken. Je kan de bal neerleggen bij de leveranciers, en die verschuilen zich achter lange test trajecten. Je zult als bedrijf zaken moeten afwegen en op andere lagen security moeten aanbrengen welke er voor kan zorgen dat je niet vatbaar bent voor exploits.
Het meeste gevaar komt vanuit de eindgebruiker, veel door internetten of besmette bijlages. Meestal door niet werk gerelateerd websites of vage mailtjes die ze uiteraard openen.
14-07-2016, 10:21 door Anoniem
Door Anoniem: aaaand here we go again. gelukkig maar 1300 systemen en geen patchbeleid of mechanisme.
hoe bedoel je geen patchbeleid of mechanisme? Een van de weinige dingen die Adobe nog wel goed doet voor zowel Flash Player als Reader is dat je ze centraal kunt installeren en updaten via GPO...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.