News Firefox: Mozilla Foundation setzt Flash auf Blockliste

[Magellan]

Wenn das nur die alte Version betrifft ist aber ein Update von Titel und Newstext angebracht, hier wird das Bild verbreitet Flash an sich würde von nun an generell geblockt.

jetzt aber bitte mal halblang ja. wer weiss wieviele unentdeckte sicherheitslücken im office, in windows, browsern und in freeware programmen sind die ich, du, wir, alle täglich nutzen. da lässt auch niemand den hate-train los. wollte nur wissen warum alle auf flash so scharf gehen und direkt aufspringen....

Naja also unbekannte Sicherheitslücken kann jede Software haben, auch Flash, hier werden aber davon unabhängig praktisch wöchentlich neue fatale Sicherheitslücken bekannt.
Was Flash darüber hinaus besonders brisant macht ist dass es reichen kann eine Website zu präparieren und der User infiziert sich im vorbeisurfen... Bei Lücken in Office oder so brauch ich in der Regel erst mal eine entsprechende Datei die ich per Mail oder so verbreiten muss und die der User aktiv öffnen muss und welche der Antivirus noch nicht erkennen darf usw, da ist die Hürde zur Infektion schon deutlich höher.

 

[Sepp Depp]

Schmidt sagt aber auch dass der Flash-Block zunächst nur vorübergehend gilt, bis Adobe die neuesten Lücken gefixt hat.
Adobe hat mit der .209 eine der Sicherheitslücken geschlossen. Es sollen aber noch 2 weitere Bugs durch die entwendeten Daten vom Hacking Team entdeckt worden sein die im Laufe der Woche gefixt werden. Nur mal so als Vorwarnung damit die Aufregung nicht zu groß wird, sollte der nächste Patch kommen.

 

[Just blAzE.´]

Bei mir wäre Flash auch schon vom Rechner, nur leider leider leider benutzen Websites, wie Twitch.tv immernoch Flash. Da ich täglich mehrere Stunden streams gucke, bin ich leider noch auf Flash angewiesen. Twitch.tv hatte vor einiger zeit angekündigt, dass man ´bald´ auf HTML 5 umsteigen würde, da das aber noch dauern kann, bin ich noch auf Flash angewiesen

 

[VikingGe]

Browserbasierte Spiele sind sehr sehr beliebt, ein Großteil verwendet Flash und ich behaupte (trotz nicht genügend HTML5-Kenntnisse), daß man solche Spiele nicht einfach mit HTML5 umsetzen kann.

Theoretisch ginge das. Kleineres Zeugs direkt auf dem Canvas, größeres Zeug mit WebGL und dann gibt es da noch einen Standard, der leider von allen Seiten komplett ignoriert wird, nämlich SVG für Vektorgrafik. 2D-Flashgames sind letztenendes auch nicht viel mehr als animierte Vektorgrafik mit unterirdischster Performance.

In der Praxis bereiten hier natürlich wieder unausgereifte Implementierungen in diversen Browsern Probleme. Die Frage, die ich mir allerdings stelle, ist, warum der Browser inzwischen quasi ein komplettes zweites Betriebssystem sein muss und warum da dicke Spiele drin laufen müssen...


@Just blAzE Twitch kann man theoretisch auch per KODI-Plugin ohne Browser gucken und per IRC-Client in den Chat mit einsteigen. In der Praxis ist das allerdings sehr unkomfortabel, deswegen habe ich dafür (und nur dafür) noch Chromium+pepper-flash auf dem Rechner.

 

[MountWalker]

McAfee 2013 Threats Predictions Seite 9:

"HTML5 is the next version of the standard language of Internet browsers. It provides language
improvements, capabilities to remove the need for plug-ins, new layout rendering options, and
new powerful APIs that support local data storage, device access, 2D/3D rendering, web-socket
communication, and many other features. Today 74 percent of users in North America, 72 percent in
Asia, and 83 percent in Europe use browsers that support the majority of HTML5 features.

[...]

Browsers have long been one of the primary vectors for security threats, and HTML5 won’t change that.
With HTML5 the threats landscape will shift and broaden. We will see a reduction in exploits focused on
plug-ins as browsers provide this functionally via their new media capabilities and APIs. However, HTML5
will offer other opportunities for attackers because the additional functionality will create a larger attack
surface. Powerful JavaScript APIs that allow device access will expose the browser as websites gain direct
access to hardware.

One example is WebGL, which provides 3D rendering. Prior to WebGL, HTML content not based on
plug-ins was interpreted and rendered by the browser. This provided a layer of technology between
the untrusted data on the Internet and the operating system. WebGL browsers, however, expose
the graphics driver stack and hardware, significantly increasing the attack vectors. Researchers have
already demonstrated graphics memory theft—allowing the web application to steal screenshots from
the desktop—and denial of service attacks using all popular browsers supporting WebGL and popular
graphics driver stack providers.

One of the primary separations between a native application and an HTML application has been the
ability of the former to perform arbitrary network connections on the client. HTML5 increases the attack
surface for every user, as its features do not require extensive policy or access controls. Thus they allow
a page served from the Internet to exploit WebSocket functionality and poke around the user’s local
network. In the past, this opportunity for attackers was limited because any malicious use was thwarted
by the same-origin policy, which has been the cornerstone of security in HTML-based products. With
HTML5, however, Cross Origin Resource Sharing will let scripts from one domain make network requests,
post data, and access data served from the target domain, thereby allowing HTML pages to perform
reconnaissance and limited operations on the user’s network.

[...]

Übersetzungsangebot:
"HTML5 ist die kommende Version der Standardsprache von Internetbrowsern. Es führt Erweiterungen der Sprache ein, ermöglicht den Verzicht auf PlugIns, führt neue Layout-Funktionen, neue, mächtigere APIs, die lokalen Datenspeicherzugriff, 2D/3D-Rendering, [bidirektionale] WebSocket-Kommunikation und viele weitere Funktionen ein. Heute [2013] nutzen bereits 74 % der nordamerikanischen, 72 % der asiatischen und 83 % der europäischen Web-Anwender einen browser, der HTML5-Funktionen unterstützt

[…]

Browser sind schon seit langem einer der Hauptangriffsvektoren, HTML5 wird daran nichts ändern. Mit HTML5 wird sich die Landschaft der Bedrohungen/Angriffe verändern, aber auch erweitern. Es wird weniger Exploit-Angriffe auf PlugIns geben, weil Browser diese Funktionalität mit ihren neuen Medienfunktionen und APIs selbst bieten werden. HTML5 wird indes Angreifern andere Möglichkeiten bieten, weil zusätzliche Funktionalität eine größere Angriffsfläche bietet. Mächtige JavaScript APIs, die direkten Gerätezugriff erlauben, setzen den Browser ins Fadenkreuz, weil damit Webseiten ein direkter Hardware-Zugriff ermöglicht wird.

Ein Beispiel dafür ist WebGL, mit dem 3D Rendering ermöglicht wird. Vor WebGL wurden HTML-Inhalte durch den Browser interpretiert und gerendert. Damit wurde technologisch eine Zwischenschicht zwischen den vertrauensunwürdigen Daten im Internet und das Betriebssystem gesetzt. WebGL-Browser bieten aber direkten Zugriff auf den Grafiktreiberstack und Hardware, wodurch neue Angriffsvektoren geöffnet werden. Forscher haben bereits das Auslesen des Grafikspeichers – wodurch beispielsweise Screenshots vom Desktop des Nutzers gelesen werden können – sowie Programmabstürze mit allen gängigen WebGL unterstützenden Browsern und gängigen Grafiktreibern demonstriert.

Einer der Hauptunterschiede zwischen nativen Anwendungen und HTML-Anwendungen war die Möglichkeit der nativen Anwendung, Netzwerkverbindungen auf dem Client-Rechner herzustellen. HTML5 vergrößert die Angriffsfläche für jeden Anwender, da seine Funktionen keine Zugriffskontrollfunktionen und kein Regelwerk voraussetzen. Dadurch erlauben HTML5-Anwendungen einer im Internet liegenden Seite die Ausnutzung von WebSocket-Funktionen und geben der Website damit die Möglichkeit, im lokalen Netzwerk des Anwenders rumzuspuken. Früher wurde diese Möglichkeit für Angreifer dadurch begrenzt, dass schadhafte Ausnutzung die eine „Regel des gleichen Ursprungs“ vereitelt wurde, was der Eckpfeiler der Absicherung von HTML basierten Produkten war. Mit HTML5 wird indessen das gemeinsame Nutzen von Resourcen durch verschiedene Quellen Skripten einer Domain erlauben, Netzwerkanfragen zu machen, Daten zu senden und auf Daten einer Ziel-Domain zuzugreifen, wodurch HTML-Seiten das Auskundschaften des lokalen Netzwerks des Anwenders und das Ausführen begrenzter Operationen erlaubt wird.

[...]"

Warum genau soll ich jetzt Flash deaktivieren? Damit Malware-Entwickler schneller auf HTML5-Exploits ausweichen? Man muss natürlich einräumen, dass Mozilla sich des Problems, dass es hier keine prinzipiellen Unterschiede in der Absicherung von HTML5 und Adobe Flash gibt, bewusst ist. Deshalb wird ja beispielsweise an Rust gearbeitet, weil Rust-Programmierer wesentlich weniger Gefahr laufen sollen, Exploits zu ermöglichen, als das bei C++ der Fall ist. Aber noch ist bei Spidermonkey nichts davon zu sehen.

Das PPAPI-Plugin in meinem Opera bietet darüber hinaus die Verhinderung eines Programmabsturzes durch Flash-Absturz - wenn mir ein HTML5-JS-Gebilde die JS-Engine abschmieren lässt, ist der Browser dagegen unbedienbar. Irgendwie ist mir da ein in einen eigenen Prozess ausgelagertes Plugin lieber. Aber gut, sowas gibts bei Firefox (bisher) eh nicht.

 

[IRON67]

jetzt aber bitte mal halblang ja.

Nein.

wer weiss wieviele unentdeckte sicherheitslücken im office, in windows, browsern und in freeware programmen sind die ich, du, wir, alle täglich nutzen.

Jedenfalls nicht du und ich. Und viele andere auch nicht. Aber spätestens dann, wenn sie per Exploit ausgenutzt werden und genügend Opfer durch die Malware geschädigt wurden, fallen diese Lücken auf - wie immer. Und dann redet man darüber in der Öffentlichkeit und die Hersteller sind gezwungen, zu patchen. Wie immer.

da lässt auch niemand den hate-train los.

Was hat das mit "hate" zu tun, wenn man kund tut, dass man als umsichtiger Nutzer Flash und Java nicht mehr als Plugin nutzt bzw. sich wünscht, es wäre bald verschwunden?

wollte nur wissen warum alle auf flash so scharf gehen und direkt aufspringen....

Jetzt mal halblang... Google ist dir ein Begriff? Da kann man ganz ohne "Hate" lesen, wie oft gerade das Flash-Plugin heuer negativ auffiel.

real existierende gefahr .... lol.

Lache du ruhig jetzt. Ich lache dann später. Du scheinst nicht zu kapieren, dass es einen erheblichen Unterschied macht, WER die Lücke als erster entdeckt. Und da 18.0.0.203 erst seit ner Woche aktuell war, sind die beiden gerade erst öffentlich bekannt gewordenen Lücken darin eben Zero-day-Lücken und trotzdem bereits in Exploit-Kits verbaut. Bis die Öffentlichkeit nachgezogen und mehrheitlich aktualisiert hat, ist die Gefahr also sehr wohl real.

 

[bedunet]

Ich habe privat Flash schon lange vom Rechner runtergeworfen. YouTube Videos schaue ich mittels HTML5 und wenn ne Seite Flash unbedingt haben will dann schau ich mir die Seite nicht an - da bin ich konsequent.

 

[S3veny]

Lange war es klar aber noch nie wurde es ausgesprochen:

Mozilla, ich liebe euch!

 

[Magellan]

wenn mir ein HTML5-JS-Gebilde die JS-Engine abschmieren lässt, ist der Browser dagegen unbedienbar

Sollte bei allen Browsern die bereits Tabbasierte Prozesse nutzen ala Chrome kein Thema sein oder?

 

[informatrix]

Das wurde aber auch Zeit!

 

[ro///M3o]

Na guten Morgen... Endlich. Muss immer erst was passieren.

 

[floh667]

Ich benutze noch weiterhin flash. Ich habe es mal mit html5 probiert, aber ich komme damit einfach nicht klar. Entweder der Sound stürzt dauernd ab, oder das komplette Video bleibt stehen. Dazu teils keine 1080p möglich und in chrome nutzt es keine gpu beschleunigung bei mir.
Da macht weder youtube, noch irgend ein anderes Videoportal spaß. Darum bleib ich solange bei flash, bis html5 vernünftig läuft und überall sauber unterstützt wird.
Und ich mags auch gar nicht, wenn ein browser mir vorschreibt, was ich zu benutzen habe. Wenn ich flash nutzen will kann das mozilla ja egal sein. Ist ja mein Risiko, nicht deren.

 

[MountWalker]

@ NoD.sunrise

Richtig, in solchen Browern ist HTML5 dann nicht schlechter als Flash - aber auch immernoch nicht besser, da die Probleme aus dem McAfee-Papier bestehen bleiben.

 

[Turrican101]

Aber Soundcloud funktioniert doch auch ohne den Flashplayer?

Nicht bei jedem Lied, viele sind immer noch per Flash eingebettet. Keine Ahnung warum, ist aber so.

 

[HWM2015]

Lange war es klar aber noch nie wurde es ausgesprochen:

Mozilla, ich liebe euch!

wieso das denn ?!

es wird 1 buggy version und die neue buggy version bleibt - es ändert sich also genau 0 !

Ergänzung (14. Juli 2015)

Sollte bei allen Browsern die bereits Tabbasierte Prozesse nutzen ala Chrome kein Thema sein oder?

was mich dann aber dazu bringen würde, chrome zu nutzen. was ich eher vermeiden will ... naja pest oder cholera

 

[cbtestarossa]

und um zu verhindern dass neu hinzugekommene Plugins automatisch aktiv sind

plugin.default.state
integer

0 = nie aktivieren
1 = click to play
2 = immer aktiviert

hilft aber nicht bei allen und muss nachkontrolliert werden

 

[Haldi]

ganz ehrlich wer von den anwesenden thread-teilnehmern hatte schonmal nachweisbar nen sicherheitsproblem wegen flash? jetzt mal aus purem interesse. hört sich an als hätten hier alle schonmal ihre rechner deshalb neu aufsetzen müssen....

Ich nicht.
Aber ich muss auch ganz offen zugeben das ich kein blassen von Security habe. Da könmten im Hintergrund Dienste laufen und Daten weiter versenden und ich würde das nicht mitbekommen.
Wer überwacht schon seinen eigenen ganzen Datenverkehr auf unerwartete Ports oder Abweichungen der connections von Webseiten die nicht direkt im Browser geöffnet werden?

Also wer weiß wie viele tausend Viren ich auf meinem PC hab die von keinem Antiviren Programm erkannt werden?

 

[cbtestarossa]

bei mir hat sich nix verändert und intressiert mich auch nicht diese Blockliste
wahrscheinlich kommt die dann eh automatisch mit 39.0.1 etc
mal schauen was dann wieder herumzickt

zuerst sinnlos Funktionen (EME) einbauen und dann ne Blocklist einführen, komlizierter gehts wohl nicht
keine Ahnung was bei denen los ist, ständiges herumgefrickle

und dann sollen User noch den Schrott per Hand reinfrickeln, gehts noch?

 

[psyabit]

Flash wird noch lange Leben. Vorallem wegen der Spiele, eine ernsthafte Alternative gibts leider nicht.

 

[Morku]

@FAT B

Ich kann dir nur zustimmen, aber versuch es erst gar nicht hier logisch zu argumentieren. Die ganzen Flash News dienen nur dazu, damit die ganzen Hater sich mal wieder auslassen können, obwohl niemand gezwungen wird Flash zu nutzen. Klingt komisch, ist aber so. Und sollen bloß alle darüber am Ende "lachen" Die einzige Gefahr IMO ist Werbung und JavaScript. Für das eine gibt es ABP, für das andere NoScript.

Stattdessen könnte man Adobe loben, dass sie wieder so schnell auf die Lücken reagieren konnten und erstmal wieder keine Gefahr vom Flash Plugin ausgeht und man dennoch die Vorzüge von Flash nutzen kann. Bravo! Aber ich seh schon wieder die Hater beim Lesen meines Textes schäumen vor Wut

Überhaupt ist diese News hier ne totale Ente. Das Mozilla alte, unsichere Plugins blockiert ist überhaupt nichts neues und auch richtig so. Siehe hier z. B.: https://www.soeren-hentzschel.at/mo...klisting-verbessert-sicherheit-ab-firefox-17/
Click-to-play in Version 17. Richtig gelesen: 17! Das war 2012. Nicht anderes passiert hier. Ich habe auch kein Plan, warum alle Nachrichtenportale auf diese Gurkennews anspringen. Selbst Spiegel-Online. Wahrscheinlich der selbe Grund wie immer: Klicks!
Die neueste Version wird nicht blockiert, daher hat sich nichts geändert und das ist auch gut so, denn welches Problem sollte es jetzt geben?