Adobe schließt 36 Sicherheitslücken im Flash Player

Adobe behebt mit dem Update auf Flash Player 22.0.0.192 insgesamt 36 Sicherheitslücken in seiner Mediensoftware. Die Updates für Windows, Mac, Linux und Chrome OS beheben auch mehrere als kritisch eingestufte Schwachstellen, die es Angreifern unter Umständen erlauben, die Kontrolle über ein System zu übernehmen. Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung über den integrierten Update-Mechanismus oder das Adobe Flash Player Download Center. Dort finden sich auch Updates für weitere Plattformen.

Der Hersteller weist außerdem darauf hin, dass ein Exploit für die Sicherheitslücke mit der kennung CVE-2016-4171 bereits existiert und für gezielte Attacken verwendet wird. Er bestätigt damit Berichte von Kaspersky von Anfang der Woche. Der Exploit wird laut Kaspersky schon seit März 2016 von der Hackergruppe “ScarCruft” für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien verwendet.

Die “ScarCruft”-Hacker macht Kaspersky für zwei Kampagnen verantwortlich: “Operation Daybreak” und “Operation Erebus”. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus baue auf zwei älteren, bereits im April beziehungsweise Mai gepatchte Sicherheitslücken in Flash Player auf.

Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden. Nutzer sollten auf Plug-ins für Flash oder Silverlight entweder komplett verzichten oder sie konfigurieren, dass sie Inhalte erst nach ausdrücklicher Zustimmung durch den Anwender abspielen. Diese als “Click-To-Play” bezeichnete Möglichkeit bieten unter anderen die Browser Firefox und Chrome.

Google plant offenbar, das in Chrome integrierte Flash-Plug-in standardmäßig zu deaktivieren. Anwender, die Websites mit Flash-Inhalten besuchen müssten dann das Plug-in immer erst aktivieren, um die zu betrachten. Die Änderung soll im vierten Quartal 2016 umgesetzt werden. Um den Umstieg für Anwender und Websitebetreiber zu erleichtern, ist eine Whitelist mit den zehn weltweit am häufigsten besuchten Websites mit Flash-Inhalten angedacht. Für diese Websites ist das Flash-Plug-in dann per default aktiviert. Diese Regelung soll aber nach einem Jahr dann wieder aufgehoben werden.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Mittelfristig plant Google, dass HMTL 5 standardmäßig den umstrittenen Flash Player ablösen soll. Bei Youtube hat es schon Anfang 2015 einen großen Schritt in diese Richtung gemacht. Zwar unterstützte Youtube den HTML5-Videoplayer schon seit 2010, allerdings bekam das Video-Tag für HTML5 bei Chrome, Internet Explorer 11, Safari 8 und Betaversionen von Firefox erst 2015 den Vorrang, nachdem zusammen mit den Browserherstellern technische Einschränkungen überwunden worden waren.

Im Dezember 2015 hatte dann Facebook-Entwickler Daniel Baulig erklärt, dass das Soziale Netzwerk ab sofort Videos ausschließlich in HTML5 streamen wird. Flash wird seitdem nur noch im Spielebereich unterstützt. Baulig führte dafür zwar keine Sicherheitsproblem als Gründe an, sondern nannte vielmehr die Möglichkeiten, mit HTML5 “schnellere Innovationen in großem Stil” einführen zu können, Facebooks Open-Source-Strategie generell und die Tatsache, dass es “einfach praktisch sei”, Code nicht kompilieren zu müssen und Änderungen direkt im Browser anwenden zu können. Dennoch dürfte auch die Tatsache, dass sich mit Facebook der Betreiber einer der meistbesuchten Websites von Flash abgewendet hat, aus Sicht der Nutzer weiter dazu beitragen, dass die Adobe-Technologie für sie unwichtiger und damit letztlich verzichtbar wird.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Wann begreifen die Webentwickler, dass man so ziemlich die gleichen Seiten auch ohne Flash mit HTML5 machen kann.
    So ziemlich jede Woche kommen neue gravierende Sicherheitslücken über den Flash-Player.
    Warum muss es denn immer das Proprietäre Flash Format sein, wenn es ohne doch genau so gut geht. Ich kann die Webseiten Betreiber nicht verstehen, die bewusst von ihren Besuchern den Einsatz des proprietären Flash Players fordern und sie damit großen Gefahren im Internet aussetzten.
    HTML5 funktioniert in jedem aktuellen Browser ohne Zusatz Software und ohne Plugins. Bei Flash muss, bis auf den Google-Chrome Browser jedesmal zuerst Flash installiert werden. Selbst YouTube hat schone lange auf HTML5 umgestellt.

    Flash ist absolut veraltet und die Webentwickler sollte mal langsam aufwachen.

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

13 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

13 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

13 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

18 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago