Ich habe den größten Teil des letzten Monats damit verbracht, ein kleines Experiment durchzuführen, um herauszufinden, wie sehr ich Adobes fehlerhafte und unsichere Flash Player Software vermissen würde, wenn ich sie ganz von meinen Systemen entfernen würde. Wie sich herausstellte, nicht so sehr.

brokenflash-aBrowser-Plugins sind ein beliebtes Ziel für Malware und Kriminelle, da sie in der Regel voller ungepatchter oder undokumentierter Sicherheitslücken sind, die Cyberkriminelle nutzen können, um die vollständige Kontrolle über anfällige Systeme zu übernehmen. Das Flash Player-Plugin ist ein hervorragendes Beispiel dafür: Es gehört zu den am weitesten verbreiteten Browser-Plugins und muss monatlich gepatcht werden (wenn nicht sogar noch häufiger).

Es ist auch nicht ungewöhnlich, dass Adobe Notfallkorrekturen für die Software veröffentlicht, um Schwachstellen zu beheben, die Bösewichte auszunutzen begannen, bevor Adobe überhaupt von den Fehlern wusste. Dies geschah zuletzt im Februar 2015 und zweimal im Monat davor. Adobe hat auch im Dezember und November 2014 Out-of-Band-Fixes für Flash veröffentlicht.

Update, 11:30 Uhr ET: Seltsamerweise hat Adobe vor wenigen Minuten einen Out-of-Band-Patch veröffentlicht, um eine Zero-Day-Schwachstelle in Flash zu beheben.

Originalmeldung:

Es gab Zeiten, in denen das Java-Plugin von Oracle das bevorzugte Ziel von Exploit-Kits war, also von Software-Tools, die in gehackte oder bösartige Websites eingebaut werden und den besuchenden Browsern eine ganze Reihe von Exploits für verschiedene Plugin-Schwachstellen unterjubeln. In letzter Zeit scheint das Pendel jedoch wieder zu Gunsten von Exploits für den Flash Player auszuschlagen. Ein populäres Exploit-Kit namens Angler hat beispielsweise nur drei Tage nach der Behebung einer Flash-Schwachstelle durch Adobe im April 2015 einen neuen Exploit gebündelt.

Anstatt den Patch-Wahnsinn fortzusetzen und diese unsichere Software installiert zu lassen, habe ich beschlossen, das…äh…Plugin zu entfernen. Ich neige dazu, verschiedene Browser für verschiedene Aufgaben zu (miss-)verwenden, und so war die Deinstallation des Plugins fast so einfach wie die Deinstallation von Flash, außer bei Chrome, das seine eigene Version von Flash Player mitbringt. Aber keine Angst: Das Deaktivieren von Flash in Chrome ist ganz einfach. Geben Sie bei einer Windows-, Mac-, Linux- oder Chrome OS-Installation von Chrome „chrome:plugins“ in die Adressleiste ein, und suchen Sie auf der Seite „Plug-ins“ nach dem Eintrag „Flash“: Um Flash zu deaktivieren, klicken Sie auf den Link „Deaktivieren“ (um es wieder zu aktivieren, klicken Sie auf „Aktivieren“).

In fast 30 Tagen bin ich nur in zwei Fällen auf eine Website gestoßen, die ein Video enthielt, das ich unbedingt sehen musste und für das Flash erforderlich war (ein Anleitungsvideo für ein Fitnessstudio, das ich nirgendwo anders finden konnte, und eine live gestreamte Anhörung des Gesetzgebers). In diesen Fällen entschied ich mich, zu schummeln und den Inhalt in einen Flash-fähigen Browser innerhalb einer virtuellen Linux-Maschine zu laden, die ich in VirtualBox laufen habe. Im Nachhinein wäre es wahrscheinlich einfacher gewesen, Flash in Chrome vorübergehend wieder zu aktivieren und es dann wieder zu deaktivieren, bis der Bedarf entsteht. Lesen Sie weiter →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.