Flash-Player deaktivieren! Sicherheits-Update lässt kritische Lücke offen

      Flash-Player deaktivieren! Sicherheits-Update lässt kritische Lücke offen

      Adobe hat ein Sicherheitsupdate
      für seinen Flash-Player herausgegeben. Allerdings bleibt Flash
      verwundbar, da es eine kritische Schwachstelle offen lässt. Nutzer
      sollten das Plug-in deshalb bis auf Weiteres stilllegen.

      Mit einem Sicherheitsupdate
      schließt Adobe eine Sicherheitslücke im Flash-Player, die bereits aktiv
      von Cyber-Ganoven ausgenutzt wird. Es handelt sich dabei aber nicht um
      die Lücke, über die heise Security vergangenen Mittwoch berichtete. Flash bleibt weiter angreifbar und sollte umgehend deaktiviert werden.

      Alarmstufe Rot – trotz Patch


      Das in Chrome enthaltene Flash-Plugin ist unabhängig vom auf
      dem System installieren Flash Player und muss separat deaktiviert
      werden.

      Durch die Schwachstelle, die der Patch schließt, umgehen Angreifer die
      Speicherverwürfelung von Windows, das sogenannte Address Space Layout
      Randomization (ASLR) – eine Schutzfunktion, die das Ausnutzen von
      Sicherheitslücken erschwert. Die aktuelle (weiterhin verwundbare)
      Version heißt unter Windows und Mac OS X 16.0.0.287 und unter Linux
      11.2.202.438.

      Adobe stellt in seinem Advisory klar, dass es sich dabei nicht um die
      am Mittwoch bekannt gewordene Schwachstelle handelt. Diese werde
      derzeit noch untersucht. Auch die gerade veröffentlichten Versionen sind
      also angreifbar – und werden bereits angegriffen. Inzwischen hat der
      Entdecker der Angriffe, der Virenforscher Kafeine, weitere Versuche mit dem kursierenden Exploit angestellt.
      Demnach können die Angreifer durch die noch nicht gepatchte Lücke sogar
      ein aktuelles Windows 8.1 mit Internet Explorer 11 kompromittieren.

      Ferner wird der Exploit nun auch an Firefox-Nutzer ausgeliefert, die er ebenfalls erfolgreich mit Schadcode infiziert. Besucht man eine verseuchte Webseite mit Chrome, bleibt man derzeit verschont, was aber nicht bedeutet, dass man auf der sicheren Seite ist: Der Angriffscode wird schlicht nicht ausgeliefert, was sich jederzeit ändern kann.
      Laut Kafeine kann ein Angreifer durch die Lücke beliebigen Code ins
      System einschleusen; demnach handelt es sich um eine kritische Lücke.
      Der Nutzer muss lediglich auf eine Webseite geraten, auf der das
      Exploit-Kit Angler lauert – und das kann jede sein. Die Lücke wird
      bereits aktiv ausgenutzt, daher sollte man den Flash-Player bis auf
      Weiteres stilllegen.

      Der erste Schritt ist die Deinstallation der Software auf dem
      üblichen Weg. Google Chrome bringt darüber hinaus eine eigene Kopie des
      Plug-ins mit, die man über die die URL chrome://plugins/
      abschalten kann. Das gleiche gilt für den Internet Explorer unter
      Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier
      über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave
      Flash Object".

      Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play,
      die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit
      der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte
      Browser das Flash-Plugin ausführt, kann man bei Adobe testen.


      Quelle