Flash: Schon wieder wird eine Zero Day-Lücke längst ausgenutzt

Adobes Flash-Plugin hat schon lange den Ruf, ziemlich unsicher zu sein. Doch die aktuelle Situation ist selbst hier ziemlich ungewöhnlich. Die Entwickler müssen im dritten Monat in Folge eine so genannte Zero Day-Sicherheitslücke stopfen, die in der ... mehr... Logo, Flash, Adobe Bildquelle: Adobe Logo, Flash, Adobe Logo, Flash, Adobe Adobe

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Zitat: "Flash stellt seit Jahren eine notorische Schwachstelle auf Computern dar und gehört Jahr für Jahr zu den lukrativsten Angriffszielen" - mal blöd gefragt: Warum ist das eigentlch so? Also speziell beim Flash-Player? Was ist an dieser Software, womöglich schon vor Urzeiten, mal grundsätzlich so (schlecht?) programmiert worden, daß sie dermaßen häufig immer neue Schwachstellen aufweist?

Ich weiß, daß es keine Software gibt, die jemals komplett fehlerfrei und sicher ist. Doch weshalb ist der Flash-Player diesbezüglich so besonders auf- und anfällig? Weiß das jemand?
 
@departure: Flash ist ein lohnenswertes Ziel in vielerlei Hinsicht. Wenn man eine Sicherheitslücke in Flash findet, hat man zunächst einmal ein relativ großes Publikum, dass man mit seinem Exploit bedienen kann, da Flash auf vielen Endgeräten zur Verfügung steht. Als nächstes brauchst du den Nutzer nicht groß täuschen um ihm Flash-Inhalte unterzujubeln. Es genügt das Laden des Flash-Inhaltes auf irgendeiner Seite auszulösen und fast jeder Besucher der Seite wird den Inhalt laden (eine EXE-Datei z.B., wenngleich an und für sich gefährlicher, müsste aktiv heruntergeladen und ausgeführt werden).

Als nächstes wird (oder wurde, ich nutze es nicht mehr) Flash von vielen nicht aktuell gehalten. Jedes Mal wenn ein Nutzer bei einem vorgeschlagenen Update für den Flash-Player auf "Später" klickt, setzt er sich einen weiteren Zeitraum allen Sicherheitslücken aus, die zwischenzeitlich geschlossen wurden und so gut wie ich die Nutzer in meiner Umgebung kenne, drücken sie oft und gerne auf "Später", bei Java, Flash usw. GNU/Linux Nutzer bekommen ihre Updates für (hoffentlich) alle Software auf dem System über den Paketmanager, Windows Nutzer bekommen ihre Updates zumindest für die wichtigsten Systemkomponenten über Windows Updates und die Browser haben automatische eigene Updatemechanismen, aber Flash kann schonmal eine Weile ungepatcht bleiben (oder konnte, ich habe die letzten Änderungen nicht verfolgt).

Ansonsten wissen wir natürlich nicht, wieviel Geld Adobe in die Sicherheit des Browser Plugins investiert...
 
@dpazra: Soll also heißen, der Mix aus starker Verbreitung & Updatefaulheit macht ihn so lohnend und empfänglich, und nicht seine eigentliche Technik als Programm?
 
@departure: Verbreitung und Updatefaulheit sind auf jedenfall starke positive Gründe eine Software als lohnendes Einfallstor zu bewerten. Schlechte Technik wäre ein weiterer Faktor in diese Richtun, aber den kann ich nicht einschätzen, weil ich die Datenlage zu Sicherheitslücken nicht so gut kenne. Nach dem, was ich einer oberflächlichen Suche von Statistiken zu CVEs, die Adobe Flash betreffen, entnehme, würde ich aber sagen, die Technik ist auch eher schwach. Das muss nicht daran liegen, dass Adobe unfähig wär. Flash ist proprietäre Software, das heißt von der Community kann keine Hilfe kommen, und die Zukunftsprognose von Flash als Browserplugin ist nicht so dolle. Ich kann mir gut vorstellen, dass Adobe wenig Anlass sieht, Geld in Flash zu investieren.
 
Flash wurde ja bei Videos durch HTML5 ersetzt, aber wie sieht es bei Spielen aus? Z.B. Shakes&Fidget. Gibt es da gute Alternativen für die Programmierer (damit man hoffen kann, dass diese irgendwann darauf umschwenken)?
 
@Kennbo: ja es gibt es seit Jahren schon. Mit JavaScript kann man alles genau so gut wenn nicht sogar noch besser. JavaScript wird auch von allen Web Browser unterstützt.
 
@Robox: wunderbar. Pest durch Cholera heilen.
 
@Jazoray: wieso? Pest durch Cholera heilen. Html5 + JavaScript + css3 gehört die Zukunft in web JavaScript Bassist auf den Standard ECMAScript ohne JavaScript würden die Web Browser aber alt aussehen. ich würde immer wen möglich eine Standard Programmiere Sprache den Vorzug geben als ein Plugin von irgend ein einzelnen 3 Hersteller.
 
@Jazoray: Das www heute ohne JavaScript/Node.js? Welche Seite läuft noch ohne JavaScript?
Ich nehme an Du schaust dir nichts auf YouTube an - so ohne Flash und JS?
 
Flash-Lücken interessieren mich seit 3 Monaten nicht mehr. Nägel mit Köpfen gemacht und Flash vom System verbannt. Bis heute habe ich noch nichts vermisst. Aber ich zocke auch keine billigen Browsergames, die mich zu InApp-Käufen bringen wollen.
 
Seit jahre kein Flash, kein Java und ich vermisse nix! Hier und da mal nen grauen Fleck in den Websites, "Plugin benötigt", setzt die Seiten Off, braucht kein Mensch! Gibt für Alternativen!
 
@Roger_Tuff: Ich hatte schon seit Jahren keine Seite mehr die Java wollte?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen