Adobe behebt mit dem Update auf Flash Player 22.0.0.192 insgesamt 36 Sicherheitslücken in seiner Mediensoftware. Die Updates für Windows, Mac, Linux und Chrome OS beheben auch mehrere als kritisch eingestufte Schwachstellen, die es Angreifern unter Umständen erlauben, die Kontrolle über ein System zu übernehmen. Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung über den integrierten Update-Mechanismus oder das Adobe Flash Player Download Center. Dort finden sich auch Updates für weitere Plattformen.
Der Hersteller weist außerdem darauf hin, dass ein Exploit für die Sicherheitslücke mit der kennung CVE-2016-4171 bereits existiert und für gezielte Attacken verwendet wird. Er bestätigt damit Berichte von Kaspersky von Anfang der Woche. Der Exploit wird laut Kaspersky schon seit März 2016 von der Hackergruppe “ScarCruft” für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien verwendet.
Die “ScarCruft”-Hacker macht Kaspersky für zwei Kampagnen verantwortlich: “Operation Daybreak” und “Operation Erebus”. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus baue auf zwei älteren, bereits im April beziehungsweise Mai gepatchte Sicherheitslücken in Flash Player auf.
Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden. Nutzer sollten auf Plug-ins für Flash oder Silverlight entweder komplett verzichten oder sie konfigurieren, dass sie Inhalte erst nach ausdrücklicher Zustimmung durch den Anwender abspielen. Diese als “Click-To-Play” bezeichnete Möglichkeit bieten unter anderen die Browser Firefox und Chrome.
Google plant offenbar, das in Chrome integrierte Flash-Plug-in standardmäßig zu deaktivieren. Anwender, die Websites mit Flash-Inhalten besuchen müssten dann das Plug-in immer erst aktivieren, um die zu betrachten. Die Änderung soll im vierten Quartal 2016 umgesetzt werden. Um den Umstieg für Anwender und Websitebetreiber zu erleichtern, ist eine Whitelist mit den zehn weltweit am häufigsten besuchten Websites mit Flash-Inhalten angedacht. Für diese Websites ist das Flash-Plug-in dann per default aktiviert. Diese Regelung soll aber nach einem Jahr dann wieder aufgehoben werden.
Mittelfristig plant Google, dass HMTL 5 standardmäßig den umstrittenen Flash Player ablösen soll. Bei Youtube hat es schon Anfang 2015 einen großen Schritt in diese Richtung gemacht. Zwar unterstützte Youtube den HTML5-Videoplayer schon seit 2010, allerdings bekam das Video-Tag für HTML5 bei Chrome, Internet Explorer 11, Safari 8 und Betaversionen von Firefox erst 2015 den Vorrang, nachdem zusammen mit den Browserherstellern technische Einschränkungen überwunden worden waren.
Im Dezember 2015 hatte dann Facebook-Entwickler Daniel Baulig erklärt, dass das Soziale Netzwerk ab sofort Videos ausschließlich in HTML5 streamen wird. Flash wird seitdem nur noch im Spielebereich unterstützt. Baulig führte dafür zwar keine Sicherheitsproblem als Gründe an, sondern nannte vielmehr die Möglichkeiten, mit HTML5 “schnellere Innovationen in großem Stil” einführen zu können, Facebooks Open-Source-Strategie generell und die Tatsache, dass es “einfach praktisch sei”, Code nicht kompilieren zu müssen und Änderungen direkt im Browser anwenden zu können. Dennoch dürfte auch die Tatsache, dass sich mit Facebook der Betreiber einer der meistbesuchten Websites von Flash abgewendet hat, aus Sicht der Nutzer weiter dazu beitragen, dass die Adobe-Technologie für sie unwichtiger und damit letztlich verzichtbar wird.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
View Comments
Wann begreifen die Webentwickler, dass man so ziemlich die gleichen Seiten auch ohne Flash mit HTML5 machen kann.
So ziemlich jede Woche kommen neue gravierende Sicherheitslücken über den Flash-Player.
Warum muss es denn immer das Proprietäre Flash Format sein, wenn es ohne doch genau so gut geht. Ich kann die Webseiten Betreiber nicht verstehen, die bewusst von ihren Besuchern den Einsatz des proprietären Flash Players fordern und sie damit großen Gefahren im Internet aussetzten.
HTML5 funktioniert in jedem aktuellen Browser ohne Zusatz Software und ohne Plugins. Bei Flash muss, bis auf den Google-Chrome Browser jedesmal zuerst Flash installiert werden. Selbst YouTube hat schone lange auf HTML5 umgestellt.
Flash ist absolut veraltet und die Webentwickler sollte mal langsam aufwachen.