Nieuws

Zero day-lek in Flash Player gebruikt voor aanvallen op IE

dinsdag 13 december 2016, 16:48 door Redactie, 9 reacties

Adobe heeft een beveiligingsupdate voor Flash Player uitgebracht die in totaal 17 kwetsbaarheden verhelpt, waaronder een zero day-lek dat bij gerichte aanvallen tegen gebruikers van Microsoft Internet Explorer werd ingezet, zo heeft het softwarebedrijf bekendgemaakt.

De kwetsbaarheid, aangeduid als CVE-2016-7892, zou op beperkte schaal bij gerichte aanvallen zijn gebruikt tegen 32-bit versies van Internet Explorer op Windows. Via het beveiligingslek kan een aanvaller de computer volledig overnemen. Het openen van een besmette of gehackte pagina of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Het beveiligingslek werd door een anonieme onderzoeker aan Adobe gerapporteerd.

Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.186 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.

Mozilla dicht ernstige beveiligingslekken in Firefox

Bende die via virtuele betaalterminals fraudeerde opgerold

Reacties (9)

13-12-2016, 17:20 door Anoniem

Welkom in onze nieuwe maatschappij met nieuwe regels

' POLITIE VERZOEK

Geachte Redactie van security.nl,

Wij verzoeken u vrijwillig berichtgeving over zero-days en beschikbare updates voor software te staken.

U frustreert met deze berichtgeving ons legale opsporingswerk daar wij gebruikmaken van zero-days.

Wij willen u er ten overvloede op wijzen dat uw nieuws artikelen in strijd zijn met uw eigen regels
"Plaats geen illegale content of links naar deze content."

Het frustreren van politiewerk achten wij als wettelijk ongewenst.

Om te voorkomen dat wij genoodzaakt zijn de rechter te laten beoordelen waar de grens ligt tussen de door u genomen vrijheden en wettelijk ongewenst danwel illegaal, verzoeken wij u met klem gehoor te geven aan uw eigen gedragscode en berichtgeving over zero-days en software patches per onmiddelijke ingang te staken.

Op uw medewerking per omgaande vertrouwende,

Hoogachtend, '

Is het denkbaar in de toekomst, een dergelijk verzoek op basis van de bekende vraagweg om rechterlijke bemoeienis te omzeilen?
Je kan het altijd proberen.
Niet geschoten is altijd mis.

Waar ligt de grens en voor wie?

13-12-2016, 17:33 door Anoniem

wilde ik vlug de exe's downloaden op de website waar ik die altijd vandaan haal, lijkt dat nu niet meer te lukken? Adobe komt weer vragen om een distribution license, die ik jaren geleden al eens aanvroeg.

13-12-2016, 23:53 door Skizmo

Ik zie de 2 oorzaken van dit probleem al in de titel staan... 'Flash' en 'IE'

14-12-2016, 08:53 door Anoniem

Het downloaden gaat inderdaad via een andere website, waarvoor je je moet registreren. Dat is al een tijdje zo.
Adobe heeft dit ook duidelijk aangegeven.
Maar het vervelende is dat de links op die website ook (nog) niet werken!
De plugin voor Firefox wel, maar de ActiveX voor IE niet.
Zijn er nog meer mensen met dit probleem?

14-12-2016, 09:49 door Anoniem

Dan zal de update wel terug getrokken zijn ofzo...

14-12-2016, 12:00 door Anoniem

De ActiveX en Plugin zijn gewoon te downloaden. En inderdaad, je zal je jaarlijks moeten registreren voor de distribution license.

Install:
msiexec /i install_flash_player_24_active_x.msi /qb /norestart ISCHECKFORPRODUCTUPDATES=0
msiexec /i install_flash_player_24_plugin.msi /qb /norestart ISCHECKFORPRODUCTUPDATES=0

Vergeet de mms.cfg niet in c:\Windows\System32\Macromed\Flash voorzien met de inhoud:
AutoUpdateInterval=0
AutoUpdateDisable=1
SilentAutoUpdateEnable=0

Cheers,
Gundog

14-12-2016, 13:27 door Anoniem

Adobe heeft een positieve kijkerervaring verbredende fout gemaakt in de code en ik ben ze er erg erkentelijk voor.

Dank adobe.

14-12-2016, 14:00 door Anoniem

Hier kun je volledige versies downloaden zonder registreren:
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html

BelarcAdvisor noemt versie 24.0.0.186 vulnerable zonder beschikbare security update. Misverstand of is er nog een zero day?

15-12-2016, 16:28 door Anoniem

"Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.186 te updaten."
En wat als je dat nu niet doet, wat zijn dan de konsekwenties? Komt Adobe het persoonlijk voor je updaten? Waarom moet dit binnen die 72 uur? Stopt je computer met werken als uur 73 nadert? Loopt er ergens een timer die de stroom eraf gooit als hij op nul komt? Of word je persoonlijk aangevallen als je na die 72 uur de update nog niet binnen hebt?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer