Adobe schließt drastische Sicherheitslücke im Flash Player
von André Westphal | 12 Kommentare
Es hat schon seine Gründe, dass Adobe Flash in den letzten Jahren extrem an Beliebtheit verloren hat. Früher beherrschte die Multimedia-Plattform geradezu das Web. Es gab kaum eine Website, auf der Flash fehlte. Oftmals diente Flash gar als Grundgerüst für gesamte Internetpräsenzen. Doch nach dem Aufkommen von HTML5 verlor Flash an Mehrwert. Zudem gab es immer wieder Eklats, um Sicherheitslücken. Nun hat Adobe sich ans Werk begeben und einem Exploit den Garaus gemacht. Jene kritische Lücke wurde zuvor zum Beispiel für Angriffe auf Regierungsbehörden ausgenutzt.
So steht der Flash Player nun in der Version 19.0.226 für Apple Macs bzw. Windows-PCs bereit. Wer Linux einsetzt, sollte darauf achten, Version 11.2.202.540 zu verwenden. In diesem Fall hat Adobe relativ fix reagiert. Das ist allerdings auch kein Wunder, wurde doch vielfach bereits empfohlen aufgrund des Exploits den Flash Player erstmal komplett vom Rechner zu kicken. So ermöglicht die Lücke Angreifern über den Flash Player einen Rechner komplett zu übernehmen. Unfreiwillig eingeführt wurde der Exploit durch ein Update am Mittwoch.
Die Lücke trägt die Bezeichnung „CVE-2015-7645“ und ist nur für gezielte Angriffe ausnutzbar – dann allerdings deftig. Hacker können Abstürze verursachen und auf alle Dateien zugreifen. Klar, dass man da nicht nur bei Adobe in Panik geriet und viele User vermutlich auf Nummer sicher gegangen sind bzw. den Flash Player erstmal entfernt haben. Das Update behebt dieses Problem und schließt die kritische Sicherheitslücke.
Was sagt ihr dazu? Ich selbst habe Flash schon seit gefühlten Ewigkeiten nicht mehr auf meinem Rechner – vermisst habe ich es, HTML5 sei dank, nie. Meine beste Erinnerung an Flash ist vermutlich die Website Newgrounds, die in den späten 1990er- bzw. frühen 2000er-Jahren durch ihr Angebot von Flash-Games und -Videos sehr bekannt gewesen ist.
Wird geladen ...
DIese Pest habe ich abgeschaltet: Flash und Java.
Per Addon in Firefox: Quickjava. Auf Klick kann ich es im Einzelfall wieder einschalten, wenn ich unbedingt will.
Das ist aber praktisch nicht mehr notwendig, weil die meisten -von mir besuchten- Webseiten dann Html5 Videos einschalten, wenn Flash nicht da ist.
Das hat auch den Vorteil das nur noch wenige nervige Werbung durchkommt. Auch ohne Blocker.
@sunworker
So handhabe ich das auch. Musste bisher auch extrem selten das aktivieren des Plugins erlauben. Und es hat den netten Nebeneffekt, dass es nicht mehr passieren kann, dass das Plugin wieder hängt und dem Lüfter meines Notebooks durchdrehen lässt.
@elknispo
Das mit dem Lüfter kommt noch dazu. Der Akku des Notebooks hält auch länger ohne Flash.
Aber das beste ist: die Sicherheit ist drastisch höher und die nervigste Werbung ist auch gleich weg.
Da hatte der gute alte Steve Jobsy doch recht, damals war ich noch empört über das Abschalten von Flash.
Firefox sollte Flash nicht mehr unterstützen, ditto die anderen großen Browser. Es geht echt besser ohne.
Vielleicht sollte man hier noch einmal erwähnen, dass in Google Chrome Flash immer noch installiert ist und die Inhalte auch abspielt, wenn man sie anklickt. Ich wette da draussen sind nicht wenige unterwegs, die Flash vom Rechner geschmissen haben und munter mit Chrome durch die Gegend surfen.
Vor knapp drei Monaten habe ich in der Firma auf allen Rechnern (knapp 90 Stück) Flash runtergeworfen. Privat schon viel länger. Die Benutzer wurden vorab nicht informiert und siehe da, es gab bis jetzt diesbezüglich nur Anfragen von genau drei Personen (eine davon wegen Webradio…). Wirklich vermisst wird Flash also nicht. Webseiten die ohne Flash nicht laufen werden einfach boykottiert. Und ich muss nicht gefühlte zwei kritische Sicherheitsupdates pro Woche einspielen. Ich kann nur allen Admins raten die Flash noch nicht runter geworfen haben, weil sie nicht den Zorn ihrer Benutzer auf sich ziehen wollten, tut es. So schlimm ist es gar nicht. 🙂
Hab es auch gestern Abend deinstalliert, was auf einem Mac ja echt ne Frechheit ist. Da muss man ein Deinstallationstool runterladen, ich dachte ich spinne!
Bestand die Sicherheitslücke auch, wenn man den Flash Player nur im Browser deaktiviert hat?
@oschmie
Das ist durchaus möglich.
So kann man die Flash Pest auch in Chrome abstellen:
chrome://plugins/ => Adobe Flash Player => deaktivieren
Das ist schon bescheuert das man Flash -trotz scheinbar kompletter Deinstallation unter Windows- auch noch explizit in Chrome deaktivieren muss!
Die meisten normalen User werden das nicht wissen und haben die Sicherheitslücken weiter in Betrieb – auch die tausenden bisher noch unentdeckten!
@sunworker
Chrome bringt ein eigenes Flash-Plugin mit, welches im Hintergrund automatisch aktualisiert wird. Und auch wenn Chrome auf die Aktualisierungen von Adobe angewiesen ist, läuft im Regelfall alles automatisch im Hintergrund. Der „normale“ User wird davon nichts mitbekommen. Also nix mit bescheuert.
Grundsätzlich sollte Flash immer vom PC/Mac entfernt werden. Abgesehen von den Update-Orgien wegen der verschiedenen Sicherheitslücken ist Flash auch für den teilweise unglaublich langsamen Seitenaufbau und zahlreiche Abstürze von Browsern verantwortlich.
Habe erst vor drei Tagen mal wieder Steve Jobs Brandbrief gegen Flash gelesen. Der Witz ist, er könnte bis auf Kleinigkeiten auch gerade erst geschrieben worden sein.
@bruderlustig
Bescheuert deshalb, weil das keiner wissen kann. Die meisten Leute denken sie haben Flash deinstalliert und eine höhere Sicherheit dadurch und es ist noch da in Chrome – aber versteckt!