image

Zero day-lek in Flash Player gebruikt voor aanvallen op IE

dinsdag 13 december 2016, 16:48 door Redactie, 9 reacties

Adobe heeft een beveiligingsupdate voor Flash Player uitgebracht die in totaal 17 kwetsbaarheden verhelpt, waaronder een zero day-lek dat bij gerichte aanvallen tegen gebruikers van Microsoft Internet Explorer werd ingezet, zo heeft het softwarebedrijf bekendgemaakt.

De kwetsbaarheid, aangeduid als CVE-2016-7892, zou op beperkte schaal bij gerichte aanvallen zijn gebruikt tegen 32-bit versies van Internet Explorer op Windows. Via het beveiligingslek kan een aanvaller de computer volledig overnemen. Het openen van een besmette of gehackte pagina of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Het beveiligingslek werd door een anonieme onderzoeker aan Adobe gerapporteerd.

Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.186 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.

Reacties (9)
13-12-2016, 17:20 door Anoniem
Welkom in onze nieuwe maatschappij met nieuwe regels

' POLITIE VERZOEK

Geachte Redactie van security.nl,

Wij verzoeken u vrijwillig berichtgeving over zero-days en beschikbare updates voor software te staken.

U frustreert met deze berichtgeving ons legale opsporingswerk daar wij gebruikmaken van zero-days.

Wij willen u er ten overvloede op wijzen dat uw nieuws artikelen in strijd zijn met uw eigen regels
"Plaats geen illegale content of links naar deze content."

Het frustreren van politiewerk achten wij als wettelijk ongewenst.

Om te voorkomen dat wij genoodzaakt zijn de rechter te laten beoordelen waar de grens ligt tussen de door u genomen vrijheden en wettelijk ongewenst danwel illegaal, verzoeken wij u met klem gehoor te geven aan uw eigen gedragscode en berichtgeving over zero-days en software patches per onmiddelijke ingang te staken.

Op uw medewerking per omgaande vertrouwende,

Hoogachtend, '

Is het denkbaar in de toekomst, een dergelijk verzoek op basis van de bekende vraagweg om rechterlijke bemoeienis te omzeilen?
Je kan het altijd proberen.
Niet geschoten is altijd mis.

Waar ligt de grens en voor wie?
13-12-2016, 17:33 door Anoniem
wilde ik vlug de exe's downloaden op de website waar ik die altijd vandaan haal, lijkt dat nu niet meer te lukken? Adobe komt weer vragen om een distribution license, die ik jaren geleden al eens aanvroeg.
13-12-2016, 23:53 door Skizmo
Ik zie de 2 oorzaken van dit probleem al in de titel staan... 'Flash' en 'IE'
14-12-2016, 08:53 door Anoniem
Het downloaden gaat inderdaad via een andere website, waarvoor je je moet registreren. Dat is al een tijdje zo.
Adobe heeft dit ook duidelijk aangegeven.
Maar het vervelende is dat de links op die website ook (nog) niet werken!
De plugin voor Firefox wel, maar de ActiveX voor IE niet.
Zijn er nog meer mensen met dit probleem?
14-12-2016, 09:49 door Anoniem
Dan zal de update wel terug getrokken zijn ofzo...
14-12-2016, 12:00 door Anoniem
De ActiveX en Plugin zijn gewoon te downloaden. En inderdaad, je zal je jaarlijks moeten registreren voor de distribution license.

Install:
msiexec /i install_flash_player_24_active_x.msi /qb /norestart ISCHECKFORPRODUCTUPDATES=0
msiexec /i install_flash_player_24_plugin.msi /qb /norestart ISCHECKFORPRODUCTUPDATES=0

Vergeet de mms.cfg niet in c:\Windows\System32\Macromed\Flash voorzien met de inhoud:
AutoUpdateInterval=0
AutoUpdateDisable=1
SilentAutoUpdateEnable=0

Cheers,
Gundog
14-12-2016, 13:27 door Anoniem
Adobe heeft een positieve kijkerervaring verbredende fout gemaakt in de code en ik ben ze er erg erkentelijk voor.

Dank adobe.
14-12-2016, 14:00 door Anoniem
Hier kun je volledige versies downloaden zonder registreren:
https://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html

BelarcAdvisor noemt versie 24.0.0.186 vulnerable zonder beschikbare security update. Misverstand of is er nog een zero day?
15-12-2016, 16:28 door Anoniem
"Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.186 te updaten."
En wat als je dat nu niet doet, wat zijn dan de konsekwenties? Komt Adobe het persoonlijk voor je updaten? Waarom moet dit binnen die 72 uur? Stopt je computer met werken als uur 73 nadert? Loopt er ergens een timer die de stroom eraf gooit als hij op nul komt? Of word je persoonlijk aangevallen als je na die 72 uur de update nog niet binnen hebt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.