Adobe wapent Flash Player tegen nieuwe aanvallen

[Captain Kirk]

Adobe heeft in samenwerking met Google beveiligingsmaatregelen aan Flash Player toegevoegd die de videoplug-in tegen nieuwe aanvallen moeten wapenen. De afgelopen maanden werden er verschillende zero day-lekken in Flash Player gevonden, waarmee internetgebruikers werden aangevallen.

In dit geval was er nog geen update beschikbaar voordat de aanvallen plaatsvonden. Daarnaast werden er ook tientallen andere kwetsbaarheden in de software ontdekt die een aanvaller toegang tot computers kon geven. Een aantal van deze lekken werd na het verschijnen van de update ook gebruikt voor het aanvallen van gebruikers. In dit geval ging het om gebruikers die de update niet hadden geïnstalleerd. Een groot deel van de kwetsbaarheden die Adobe in Flash Player verhelpt worden door Google ontdekt. De reden hiervoor is dat Google Chrome over een embedded Flash Player beschikt. Kwetsbaarheden in Flash Player kunnen daardoor ook Chrome-gebruikers raken. Daarnaast heeft Google een apart team van hackers dat zich richt op het onderzoeken en veiliger maken van populaire software, zoals Flash Player.

Naast het melden van nieuwe beveiligingslekken draagt Google dan ook beveiligingsmaatregelen aan. Maatregelen die het lastiger voor aanvallers moeten maken om kwetsbaarheden aan te vallen. Samen met Adobe zijn deze maatregelen nu vanaf Adobe Flash Player versie 18.0.0.209 doorgevoerd. Zo worden bijvoorbeeld de geheugenlocaties van Flash Player willekeuriger gemaakt. Doordat deze locaties voorheen voorspelbaar waren, kon een aanvaller hier eenvoudig gebruik van maken. "We denken dat we een grote stap voorwaarts hebben gezet als het gaat om de veiligheid van Flash, maar we zijn nog lang niet klaar", zegt Chris Evans van Google.

Hij benadrukt dat voor elke verdedigingsmaatregel aanvallers een manier zullen zoeken om die te omzeilen. "Het is een kat-en-muisspel." Evans benadrukt dat de nieuwe beveiligingsmaatregelen effectiever in 64-bit versies van Flash Player zijn. Gebruikers krijgen dan ook het advies om naar een 64-bit versie van zowel hun browser als Flash Player te upgraden.

 

bron: security.nl