Welkom!

Deel je kennis met anderen in deze Flashgemeenschap!
Gebruikersnaam:
Wachtwoord:
Wachtwoord opslaan?
Wachtwoord vergeten?
Details over het beveiligingslek in de oude Flash 6 player
4631 keer gelezen

We gaven het al aan in het eerdere bericht over de nieuwe versie van de Flash 6 player; deze versie lost niet alleen een paar bugs op, maar ook een groot beveiligingsprobleem.

Bij deze meer details over dit beveiligingslek.

Het beveiligingslek geeft hackers mogelijk toegang tot de pc van de gebruiker. De nieuwe versie van de Flash plugin (versie 6,0,29,0) heeft dit beveiligingsprobleem niet meer. Het probleem werd door Marc Maiffret (van eEye Digital Security, die ook het Code Red virus opspoorde) opgemerkt, ook Macromedia had het probleem inmiddels gelokaliseerd.

Het probleem deed zich voor door een ActiveX-object, dat werd meegeļnstalleerd bij de Flash 6 plugin versie 23. Deze kon door bepaalde code misleid worden, en een buffer overrun krijgen. Hierdoor zou het mogelijk zijn dat hackers hun eigen applicatie naar binnen 'smokkelen' en activeren.

Het probleem doet zich alleen voor bij Internet Explorer. De plug-in werd door Internet Explorer als veilig beoordeeld (vanwege de signed OCX-module, de handtekening die akkoord was), en kon automatisch worden geinstalleerd. Mensen die dus nog werken met versie 23 van de Flash 6 plugin hebben de kans dat ze hiermee te maken krijgen zonder dat ze het merken.

3 mei maakte Maiffret van eEye voor het eerst melding van het lek via de Bugtraq-mailinglist. Ook macromedia had het probleem toen al opgemerkt, en had het al opgelost met de bugfix.

"We feliciteren Macromedia voor het vinden van de fout, het herstellen en uitbrengen van een nieuwe versie (van de Flash plugin), allemaal op een snelle manier", zegt Maiffret. "Toch vonden we het noodzakelijk om deze advisory uit te brengen, omdat er een getekende OCX rondwaart die door talloze mensen is gedownload en mogelijk kan worden uitgebuit."

Versie 29 van de Flash 6 plugin is hier te downloaden. Wie hem nog niet heeft geinstalleerd, raden wij uiteraard aan hem zo snel mogelijk te installeren!

bron: ZDnet

gerelateerde berichten:
- 8 april: Serieuze bug in Flash 6 player
- 2 mei: Nieuwe versie Flash player