image

Radboud-student ontdekt opnieuw lek in Adobe Flash Player

donderdag 10 augustus 2017, 10:38 door Redactie, 5 reacties

Student Björn Ruytenberg van de Radboud Universiteit heeft opnieuw een beveiligingslek in Adobe Flash Player ontdekt waardoor aanvallers Windows-wachtwoorden van gebruikers hadden kunnen stelen. Het bezoeken van een kwaadaardige of gehackte website was hierbij voldoende geweest.

Eerder dit jaar ontdekte de student ook al een soortgelijke kwetsbaarheid, die al 10 jaar in Flash Player aanwezig bleek te zijn. Adobe kwam toen met een beveiligingsupdate en besloot bepaalde onderdelen van Flash Player uit te schakelen om de aanvalsvector te voorkomen. Het bleek namelijk mogelijk om via een kwaadaardige Flash-applicatie de gebruiker verbinding met een SMB-server op internet te laten maken, waarbij zijn Windows-wachtwoord werd doorgestuurd.

De maatregelen die Adobe destijds doorvoerde zijn echter te omzeilen, zo ontdekte Ruytenberg, waardoor het nog steeds mogelijk is om computers met een SMB-server verbinding te laten maken en zo het wachtwoord van de gebruiker te achterhalen. De aanval werkte alleen tegen Firefox en Internet Explorer, alsmede Microsoft Office 2010, 2013 en 2016. Gebruikers van Google Chrome en Edge waren niet kwetsbaar.

De student meldde de kwetsbaarheid op 11 februari van dit jaar bij het Zero Day Initiative van Trend Micro, dat onderzoekers betaalt voor het rapporteren van kwetsbaarheden. Trend Micro bevestigde de kwetsbaarheid eind april en waarschuwde vervolgens Adobe. Adobe kwam deze week in de vorm van Flash Player 26.0.0.151 met een update. Gebruikers krijgen dan ook het advies om deze update zo snel als mogelijk te installeren.

Image

Reacties (5)
10-08-2017, 11:12 door Anoniem
Dus... een half jaar lang lekke Flash meuk. En Adobe heeft ook nog eens 3 maanden nodig om code fix te maken. Duidelijk dat flash gewoon dood moet. Het is en blijft meuk. Gelukkig duurt dat niet lang meer :D

TheYOSH
10-08-2017, 14:17 door Anoniem
komop zeg... deze rotzooi is dood. Zou leuk zijn als de media het ook zo behandeld.
10-08-2017, 14:52 door Anoniem
@hierboven: Dat Flash zo snel mogelijk mag worden uitgefaseerd vinden we allemaal, maar helaas is Flash nog steeds onverminderd actueel. Microsoft levert namelijk Flash mee met alle actuele Windows-versies, 7 tot en met 10. Updates voor Flash worden gedistribueerd via Windows Update. Uitschakelen of volledig verwijderen van je systeem is mogelijk, maar bij de eerstvolgende WU-sessie wordt Flash meteen weer geïnstalleerd.

Het helpt dat sommige browsermakers Flash support willen uitfaseren. Echter, zolang Microsoft Flash blijft distribueren als verplichte Windows update blijven gebruikers kwetsbaar. En zeker in het geval van Internet Explorer en Microsoft Office, die beiden in feite geen plugin sandboxing kennen.
10-08-2017, 22:29 door [Account Verwijderd] - Bijgewerkt: 10-08-2017, 22:38
Door Anoniem: @hierboven: Dat Flash zo snel mogelijk mag worden uitgefaseerd vinden we allemaal, maar helaas is Flash nog steeds onverminderd actueel. Microsoft levert namelijk Flash mee met alle actuele Windows-versies, 7 tot en met 10. Updates voor Flash worden gedistribueerd via Windows Update. Uitschakelen of volledig verwijderen van je systeem is mogelijk, maar bij de eerstvolgende WU-sessie wordt Flash meteen weer geïnstalleerd.

Het helpt dat sommige browsermakers Flash support willen uitfaseren. Echter, zolang Microsoft Flash blijft distribueren als verplichte Windows update blijven gebruikers kwetsbaar. En zeker in het geval van Internet Explorer en Microsoft Office, die beiden in feite geen plugin sandboxing kennen.

Inderdaad. En daarom is het zo jammer, ja eigenlijk een ergernis, dat Microsoft geen W7, W8.1 en W10 upgrade uitbrengt die de Flash embedding in IE delete.

Voor mij is dat ook de reden waarom ik IE nooit gebruik. En dan nog - ook al gebruik je IE nooit - de aanwezigheid van Flash op je systeem blijft een zwakke plek.

...en (zucht) ja daarom heb ik de door Microsoft aangeboden beveiligingsupdate voor Flash vanavond maar weer geïnstalleerd:

2017-08 Beveiligingsupdate voor Adobe Flash Player voor op Windows 8.1 voor x64 gebaseerde systemen (KB4034662)
Installatiedatum: 10-8-2017 19:59
Installatiestatus: Geslaagd
Type update: belangrijk
Er is een beveiligingsprobleem vastgesteld bij een softwareproduct van Microsoft dat invloed kan hebben op uw systeem. Installeer deze update van Microsoft om uw systeem hiertegen te beveiligen. Zie voor een complete lijst met problemen die in deze update zijn opgenomen het bijbehorende Microsoft Knowledge Base-artikel. Nadat u deze update hebt geïnstalleerd, moet u de computer wellicht opnieuw opstarten.
Meer informatie:
http://support.microsoft.com/help/4034662
Help en ondersteuning:
http://support.microsoft.com/help/4034662
11-08-2017, 12:58 door Anoniem
Flash.... dat waren nog eens tijden :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.