Flash Player: Adobe bezieht Stellung zum Update

In der vergangenen Woche teilte der Sicherheitsexperte Tavis Ormandy von Google mit, dass Adobe im Zuge der Veröffentlichung der letzten Flash-Player-Version deutlich mehr Lücken als angegeben geschlossen hat. mehr... Logo, Flash, Adobe Bildquelle: Adobe Logo, Flash, Adobe Logo, Flash, Adobe Adobe

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wo ist jetzt das Problem? Ist doch gut das sie sie geschlossen haben oder?
 
@Shadow81: das problem ist das sie 100 sicherheitslücken "unter den tisch haben fallen lassen" um eine höere sicherheit beim flash player vorzutäuschen
 
@dzdz: 100 mehr behobene Sicherheitslücken bedeuten aber höhere Sicherheit, daher ist es auch seltsam wo das Problem liegt. Als Softwareentwickler würde ich 10000 behobene Lücken angeben wenn ich könnte, das ist doch ein Bonuspunkt für mich dass ich sie geschlossen hab. Sicherheitslücke bedeutet nur selten, dass der Programmierer wirklich einen Fehler gemacht hat. Auch sauberer Code, der normalerweise völlig unproblematisch ist, kann Angriffspunkte geben. Ich sehe da also kein Problem drin, wenn im Nachhinein Tausende solcher Angriffspunkte gefunden werden, im Gegenteil, ein Entwickler der dann auch noch in der Lage ist, eigtl. bereits funktionierende Prozeduren so umzuschreiben dass sie sicherer sind, verdient Lob.
 
@mh0001: Also ich würde mir eine andere Software suchen, wenn du regelmässig soviele Sicherheitslücken findest.
 
@ouzo: Du dürftest dir aber noch viel schneller eine andere Software suchen, wenn alle Lücken publik gemacht würden, da sie dann ja auch von bösen Buben genutzt werden könnten. Solange Adobe das intern klärt, ist das für alle von Vorteil; wenn ich mir teilweise ansehe, mit welchen Uralt-Versionen einige Unwissende immer noch so durchs Netz gurken... Die hätten doch alle schlagartig - ohne es mitzubekommen - ein Riesenproblem am Hacken, wenn plötzlich alle Sicherheitslücken ihrer Version ausgenutzt werden könnten.
 
@DON666: Es geht doch nicht darum, dass man genau beschreibt wie man die Lücken ausnutzt, sondern dass man offen zugibt, dass man über 100 Lücken in den vorherigen Versionen hatte. Auf der einen Seite freut man sich dann, dass nun soviele geschlossen wurden, auf der anderen fragt man sich wer sowas zusammenschustert, dass es soviele Lücken geben kann und wieviele es dann noch aktuell geben mag.
 
@ouzo: Lies dir doch mal den Beitrag von mh0001 [re:2] durch, ich finde, er erklärt ganz gut den Unterschied zwischen "Programmierfehler" und "Sicherheitslücke". Das eine hat mit dem anderen eigentlich nichts zu tun. Um beim Programmieren eine Sicherheitslücke zu vermeiden, muss man halt im Prinzip bei jeder Programmzeile alle Eventualitäten durchdenken, und das Ganze dann nochmals im kompletten Kontext. Deshalb ist es doch auch so schwierig, "sichere" Software zu programmieren, und je komplexer ein Programm ist, umso mehr potenzieren sich dann auch die möglichen Einfallstore für irgendwelchen Mist. Ich bin selbst alles andere als ein Programmierer, aber ich kann mir schon vorstellen, dass diese Thematik schon enorm Hirnschmalz und "Um-die-Ecke-denken" erfordert. Man muss sich ja nur mal die Beschreibungen mancher bekannt gewordener Sicherheitslücken durchlesen, dann sieht man, wie abstrus oftmals die Wege sind, um sowas auszunutzen. Dass die Programmierer sowas nie komplett bereits bei der Entwicklung abdecken können, erscheint mir mehr als logisch.
 
@DON666: Ich hab ihn mir durchgelesen, immerhin hab ich ja auch auf ihn geantwortet... Programmierer _müssen_ an möglichst alle Eventualitäten denken, schon allein um Crashes oder Fehlfunktionen abzufangen. Und aus solchen Fehlern entstehen dann auch oft Sicherheitslücken wie BufferOverflows o.ä. Dass man sie nicht verhindern kann ist klar, aber diese auf ein Minimum eingrenzen sollte das Ziel jedes Softwareprojekts zu sein. Wenn allerdings "ganz plötzlich" mitten in einem langjährigen Projekt statt den üblichen 2-3 Sicherheitslücken nun über 100 bestehen, dann darf man das ganze denke ich mit Recht hinterfragen.
 
@mh0001: "Eine Sicherheitslücke bedeutet nur selten, dass der Programmierer wirklich einen Fehler gemacht hat"?? Bitte? Jeder Buffer overrun-Fehler (meist die Ursache für eine Lücke) ist auf eine Nichtprüfung der Puffergröße zurückzuführen, ein ganz klarer Fehler des Programmiers. Ganz ehrlich: mir fällt gerade auch gerade keine Sicherheitslücke ein, die nicht Verschulden des Programmierers ist. Wie kommst du bitte auf deine Aussage?
 
@mh0001: Wenn du 10.000 Lücken in deinem Programm hattest, hast du aber ein Problem mit deiner Erstentwicklung :)
 
@dzdz: sie haben sie ja nicht untern Tisch fallen lassen, sie haben nur offiziell nix dazu gesagt, sich intern aber um die Probleme gekümmert. würde man jede Lücke kommunizieren, würde es vor Bösewichten nur so wimmeln, die gezielt diese Lücken für Schabernack nutzen. So kann man schon nachvollziehen, dass das Zurückhalten von Informationen zum allgemeinen schutze des Internets durchaus legitim ist. Grad Analnymous und co. zeigen doch deutlich wie der Hase langläuft. Robin Hoods des Internets die sich aufspileen als würden sie im Namen der Internetnutzer agieren, aber zeitgleich auf die erbeuteten Daten zbw. deren Inhaber scheißen... durchaus nachvollziehbar was Adobe da macht. Hätte man die Lücken nicht geschlossen, gäbs sicher Kritikberechtigung, aber so?
 
@Shadow81: In der vergangenen Woche teilte der Sicherheitsexperte Tavis Ormandy von Google mit, dass Adobe im Zuge der Veröffentlichung der letzten Flash-Player-Version deutlich mehr Lücken als angegeben geschlossen hat.
 
@Shadow81: Das Verschweigen ist das böse daran. Man mag zum Beispiel diese Flash Werbeclips (aka. Trailer) für Games im Internet nicht missen, ist ja auch gerade die Gamescom in Köln, aber ein gutes Gefühl hat man natürlich nicht, wenn Adobe die User verschaukelt. Dieses Adobe Flash Browerplugin ist zwar winzig, aber nicht gerade harmlos, es kann Riesenschaden anrichten, was Adobe vor den User verschleiern will. Und genau das ist Adobe vorzuwerfen. Es ist besser, man weiß dass man mit dem Feuer spielt, wenn man das Adobe Flash Browserplugin zu lässt. Immerhin kann man es ja im Firefox relativ leicht deaktivieren, wenn man weiß, dass die Gefährdung durch das Adobe Flash Browserplugin so hoch ist.
 
das mag jetzt unqualifiziert klingen, die häufigkeit der updates bei flash und adobe reader scheint die höchste frequenz in der gesamten IT zu haben. ich kenne mich in den programm strukturen dieser software nicht aus, scheint hoch komplex zu sein, anders läßt sich das nicht erklären. aber ein gutes gefühl (sicherheit ist hauptsächlich ein gefühl) hat man dabei nicht und da helfen die "na wenigstens fixen sie es"-sager nichts
 
"die komplette Fehlersammlung", gibts die bei Adobe auch Produktübergreifend? Bei deren Umfang dürfte die Nationalbibliothek von England neidisch werden.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen