Adobe schließt 36 Sicherheitslücken im Flash Player
Eine davon ist die kürzlich durch Kaspersky bekannt gewordende Zero-Day-Lücke mit der Kennung CVE-2016-4171, die bereits für Angriffe ausgenutzt wird. Sie steckt in Flash Player 21.0.0.242 für Windows und Mac. Adobe empfiehlt Nutzern, umgehend auf Version 22.0.0.192 zu aktualisieren.
Adobe behebt mit dem Update auf Flash Player 22.0.0.192 insgesamt 36 Sicherheitslücken in seiner Mediensoftware. Die Updates für Windows, Mac, Linux und Chrome OS beheben auch mehrere als kritisch eingestufte Schwachstellen, die es Angreifern unter Umständen erlauben, die Kontrolle über ein System zu übernehmen. Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung über den integrierten Update-Mechanismus oder das Adobe Flash Player Download Center. Dort finden sich auch Updates für weitere Plattformen.
Der Hersteller weist außerdem darauf hin, dass ein Exploit für die Sicherheitslücke mit der kennung CVE-2016-4171 bereits existiert und für gezielte Attacken verwendet wird. Er bestätigt damit Berichte von Kaspersky von Anfang der Woche. Der Exploit wird laut Kaspersky schon seit März 2016 von der Hackergruppe “ScarCruft” für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien verwendet.
Die “ScarCruft”-Hacker macht Kaspersky für zwei Kampagnen verantwortlich: “Operation Daybreak” und “Operation Erebus”. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus baue auf zwei älteren, bereits im April beziehungsweise Mai gepatchte Sicherheitslücken in Flash Player auf.
Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden. Nutzer sollten auf Plug-ins für Flash oder Silverlight entweder komplett verzichten oder sie konfigurieren, dass sie Inhalte erst nach ausdrücklicher Zustimmung durch den Anwender abspielen. Diese als “Click-To-Play” bezeichnete Möglichkeit bieten unter anderen die Browser Firefox und Chrome.
Google plant offenbar, das in Chrome integrierte Flash-Plug-in standardmäßig zu deaktivieren. Anwender, die Websites mit Flash-Inhalten besuchen müssten dann das Plug-in immer erst aktivieren, um die zu betrachten. Die Änderung soll im vierten Quartal 2016 umgesetzt werden. Um den Umstieg für Anwender und Websitebetreiber zu erleichtern, ist eine Whitelist mit den zehn weltweit am häufigsten besuchten Websites mit Flash-Inhalten angedacht. Für diese Websites ist das Flash-Plug-in dann per default aktiviert. Diese Regelung soll aber nach einem Jahr dann wieder aufgehoben werden.
Mittelfristig plant Google, dass HMTL 5 standardmäßig den umstrittenen Flash Player ablösen soll. Bei Youtube hat es schon Anfang 2015 einen großen Schritt in diese Richtung gemacht. Zwar unterstützte Youtube den HTML5-Videoplayer schon seit 2010, allerdings bekam das Video-Tag für HTML5 bei Chrome, Internet Explorer 11, Safari 8 und Betaversionen von Firefox erst 2015 den Vorrang, nachdem zusammen mit den Browserherstellern technische Einschränkungen überwunden worden waren.
Im Dezember 2015 hatte dann Facebook-Entwickler Daniel Baulig erklärt, dass das Soziale Netzwerk ab sofort Videos ausschließlich in HTML5 streamen wird. Flash wird seitdem nur noch im Spielebereich unterstützt. Baulig führte dafür zwar keine Sicherheitsproblem als Gründe an, sondern nannte vielmehr die Möglichkeiten, mit HTML5 “schnellere Innovationen in großem Stil” einführen zu können, Facebooks Open-Source-Strategie generell und die Tatsache, dass es “einfach praktisch sei”, Code nicht kompilieren zu müssen und Änderungen direkt im Browser anwenden zu können. Dennoch dürfte auch die Tatsache, dass sich mit Facebook der Betreiber einer der meistbesuchten Websites von Flash abgewendet hat, aus Sicht der Nutzer weiter dazu beitragen, dass die Adobe-Technologie für sie unwichtiger und damit letztlich verzichtbar wird.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de