Kritisches Flash-Update: Der beste Patch ist die Deinstallation
Eine kritische Sicherheitslücke im Flashplayer, die schon aktiv ausgenutzt wird – das fühlt sich an wie ein Déjà-vu. Hersteller Adobe hat mit einem Patch reagiert(öffnet im neuen Fenster) , und diese und 35 weitere Lücken in dem Programm geschlossen. Gefunden hatte den Fehler Kaspersky und ihn unter der Nummer CVE-2016-4171 gemeldet. Das Update erscheint kurz nach dem regulären Patchday.
Kaspersky hatte gemeldet(öffnet im neuen Fenster) , dass die Sicherheitslücke für gezielte Angriffe ausgenutzt würde und sie einer Hackergruppe mit dem Namen APT Scar Cruft zugeordnet. Diese soll vor allem Nutzer in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien angreifen. Sie nutze mindestens zwei Exploits für den Flashplayer aus sowie einen in Microsofts Internet Explorer.
Kaspersky hatte Patch für den 16. Juni angekündigt
Kaspersky hatte am 14. Juni angekündigt, mit Erscheinen des Patches weitere Informationen offenzulegen – vermutlich am 16. Juni, wie es in dem Blogpost hieß. Bisher ist Kaspersky dieser Ankündigung noch nicht nachgekommen. Adobe war offenbar nicht in der Lage, die Sicherheitslücke am regulären Patchday, am 15. Juni, zu schließen und lieferte daher das Update hinterher.
Immer mehr Dienste kündigen derweil an, auf Flash künftig zu verzichten. Einige Mediatheken der öffentlich-rechtlichen Sendeanstalten setzen standardmäßig auf den Player, einige bieten aber bereits HTML5-Fallback an. Firefox ist dazu übergegangen, unsichere Flashinhalte zu blockieren, wenn offene Sicherheitslücken bekannt sind. Apples Safari wird Flashinhalte künftig nur noch als "Click-to-Play" anbieten. Auch Googles Werbenetzwerk Doubleclick wird ab diesem Sommer keine Flashinhalte mehr für Werbung akzeptieren, ausgenommen sind Videos.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.