Weer ernstige lekken in Flash 10.1 en Adobe Reader 9.4
En weer is het raak: opnieuw worden Flash en Adobe Reader getroffen door een ernstig lek. De kwetsbaarheid wordt al uitgebuit in Adobe Reader. Flash wordt voorzover bekend nog niet aangevallen. Beveiligingsupdates komen pas in november.
Flash 10.1 en Adobe Reader 9.4 bevatten een zeer ernstig lek. Voor Adobe Reader is dit een zero-day lek (een lek dat al misbruikt wordt door internet criminelen) - en dat is niet de eerste keer dit jaar. De kwetsbaarheid in Flash 10.1 wordt nog niet uitgebuit.
Het lek zorgt ervoor dat pc's crashen waarna kwaadwillenden de controle over het systeem kunnen overnemen. Een beveiligingsupdate voor Adobe Reader wordt verwacht in de week van 15 november. Flash krijgt een update rond 9 november.
In november staat ook Adobe Reader X gepland, de nieuwe versie van de pdf-lezer die een stuk veiliger moet zijn vanwege het gebruik van een protected mode (sandbox). Hierdoor moet Adobe Reader beveiligd zijn tegen bijna alle exploits, zoals die het afgelopen jaar de pdf lezer teisterden. Ook Flash krijgt op den duur een sandbox. Hopelijk worden we dan niet meer elke maand opgeschrikt door alle lekken in Adobe Reader en Flash...
Update 29 oktober 2010 Ook het lek in Flash Player wordt nu actief misbruikt door internet criminelen meldt Security.nl
Update 4 november 2010 Het lek in Flash Player is al gedicht
Update 16 november 2010 Adobe Reader heeft een beveiligingsupdate gekregen
Alternatieve pdf-lezers zijn hier te downloaden
Bron: Adobe
GratisSoftware.nl
Reacties
sucker
29 oktober 2010 - 07:10
Hoezo word je nog "elke maand opgeschrikt" door de lekken van flash en adobe reader...? Uit het artikel blijkt nogal een verrassing gevoel over deze bugs. Dit is toch gewoon normaal geworden, dit zijn gewoon weer een paar lekken die bekend zijn geworden. Ik vraag mij af of ze bij adobe "opgeschrikt" worden of dat de gemiddelde pc-gebruiker opgeschrikt wordt omdat dit al jaren de normale gang van zaken is.
Aan de andere kant verwacht ik inderdaad wel een kleine trendbreuk met de gebruikelijke flash en reader bugs met de aanstaande sandbox versie, maar reken er maar niet op dat deze noooooooooooit en te nimmer gehackt zal kunnen worden, oftewel dat je straks nooit meer "zero day" bugs zult hebben. Alles is te hacken immers, het gaat er meer om hoe en op welke termijn een bedrijf hiermee omgaat. Tot nu toe vind ik de reacties van Adobe nog vrij redelijk, ze doen er wel elke keer wat aan en dat allemaal kosteloos. Dat maakt het voor mij toch goede freeware. Natuurlijk kan het nog beter, getuige Firefox 3.6.12 die na 1 dag al werd verspreid, maar dat is een andere zaak.
redactie
29 oktober 2010 - 07:10
Het opschrikken slaat er in dit geval op dat het bij Adobe altijd om zero-day lekken gaat, die al actief misbruikt worden. Bij de meeste andere software-producten worden ook regelmatig of elke maand lekken gedicht, maar die worden dan nog niet uitgebuit door internet criminelen. Ofwel: bij de meeste software komen de updates vóór de lekken, bij Adobe meestal pas als de lekken allang bekend zijn en uigebuit worden. Dat is toch wel een cruciaal verschil (en gevaarlijk voor gebruikers).
Die sandbox is een goede stap, maar die zal inderdaad vast ook wel eens omzeild worden.
Reageer