News Gefährliche Lücke im Adobe Flash Player gestopft

[stormi]

Komme schon seit einer ganzen Weile (1½ Jahre) ohne Flash aus

 

[Vindoriel]

Ich habe lieber Flash, was ich deaktivieren kann (Prefbar für Firefox) als Videos usw. über HTML5, die auf etlichen Seiten einfach so abspielen, ohne dass ich das möchte (insbesonders wenn ich vorher lauter Musik gehört habe). Animierte Werbebanner gehen auch vermehrt auf HTML5.

Oder gibt es eine Option im Firefox, womit man HTML5-Videos und Animationen (meine jetzt nicht die Animation von .gif, das geht schon seit Ewigkeiten mit der Prefbar) ebenfalls abschalten kann?

 

[Lemiiker]

Wie kommt ihr darauf, dass 257 für Firefox und Chrome noch aktuell sind?? Adobe gibt für alle 3 Versionen als neueste Version .287 an Adobe. Besserwisser.

Und wieder die Vorurteile über Flash hier. Nur weil Jobs das Sch... fand, ist es das nicht. Oftmals einfacher zu programmieren als HTML 5-Zeugs.

 

[der Unzensierte]

@Lemiiker: Autos ohne ABS und ESP lassen sich auch einfacher bauen - die kauft aber kein Mensch mehr. Es interessiert mich nicht die Bohne ob sich das einfacher programmieren lässt.

@topic: Ich kann mir aktuell nicht vorstellen, wie ich ohne den Flash Player klar kommen soll. Aber ich werde es heraus finden.

 

[Postman]

Für Windows 8 kam gerade auch ein Update außerhalb des Patchdays heraus.
@ Mod: Evtl. dies in der News vermerken.

 

[kampion]

@Lemiiker
nicht ist, "war"...weil mein Fx das vorhin angezeigt hat obwohl die neue Version schon online war.

 

[iN00B]

Die Updates für IE (Win 8/8.1...) kommen so gut wie immer abseits des Patchdays bzw. am Tag der Veröffentlichung; das muss man nicht speziell erwähnen! Die Up2date-Checks für FF und die Verteilung per Autoupdate über Adobe verzögern sich ebenfalls logischerweise nicht selten um mehrere Stunden, weshalb nunmal 13 Uhr noch die alte Version aktuell war obwohl man sie schon bequem über CB laden konnte. Die Posts hier sind einfach sehr trauriger Natur, bis auf den einen wo erwähnt wird, dass man das Plugin nicht mit dem Browserstart aktivieren muss, sondern im Fall der Fälle gefragt wird. Soll kein pro Flash post sein. Adobe sollte es einfach sterben lassen, dann müssen sich die Unbelehrbaren anpassen aber hey...es ist eine kapitalistische Schleimkugel, die erst nachgibt wenn kein Geld mehr bei rumkommt.

 

[baizon]

ACHTUNG!!!

Adobe hat ein Sicherheitsupdate für seinen Flash-Player herausgegeben. Allerdings bleibt Flash verwundbar, da es eine kritische Schwachstelle offen lässt. Nutzer sollten das Plug-in deshalb bis auf Weiteres stilllegen.

Quelle: http://www.heise.de/newsticker/meldung/Flash-Player-deaktivieren-Sicherheits-Update-laesst-kritische-Luecke-offen-2526789.html

 

[wazzup]

Wenn man Flash schon haben muss wäre es ja schön wenn die mal endlich einen updater hätten der den namen auch verdient. So wie beim FF beispielsweise, dezent im Hintergrund, max. 1x nachfragen ohne umleitung auf die sch.... Seite die einem den McAffee andrehen will.

 

[MountWalker]

Wird Zeit, dass die Arte-Mediathek und tagesschau.de und vielleicht noch viele andere ÖR-VOD-Konsorten auch in Webbrowsern mit aktiviertem Click-to-Play für Plugins gangbar gemacht werden. In den entsprechenden Mediatheken funktioniert nämlich bis dato in solchen konfigurationen der Click nicht (getestet mit Opera) und man kann so bei tagesschau.de nichtmal den HTML5-Stream sehen, weil man nur eine leicht verrutschte Click-to-Play-Fläche sieht, die nicht reagiert.

@ wazzup

Nö, wird Zeit für für vernünftige Update-Tools auf Windows (also den Ansatz von chocolatey), anstatt dass jedes Fitzeltool seinen eiogenen Updater beschäftigt, der bei jedem Systemstart geladen wird.

 

[kampion]

@baizon
danke, hab jetzt in den options auf "nachfragen" umgestellt. Ich nehm an das reicht und man muss nicht flash deinstallieren?

 

[baizon]

@kampion
Ja, das reicht.

 

[Randy89]

Warum werden solche Tests immer mit veralteten, nicht mehr unterstützten Betriebssystemen, bzw. Browserversionen und/oder mit dem Internet Explorer gemacht? Warum nicht mal mit Firefox, Chrome oder Opera? Oder wenigstens die Einstellungen im Internet Explorer zumindest bei der 64-Bit Version hochstellen ("geschützte 64 Bit-Prozesse..." irgendwo bei den Optionen).
Warum werden solche Tests nicht mal mit aktiviertem Click-To-Play, Werbeblocker und NoScript (oder vergleichbares mit Chrome/Opera) gemacht?
Oder warum wird nicht mal mit EMET und/oder Sandboxie gegen solche Exploits getestet?

So hat das Ganze wiedermal null Aussagekraft und dient wohl nur als weitere Panik-Mache, um HTML5 (was man im Gegensatz zum Flash Plugin) nicht einfach nur bei Bedarf aktivieren kann, voranzutreiben.

 

[MXE]

Die haben gar nichts gestopft, die Lücke ist noch immer vorhanden!

 

[Der Moloch]

Warum werden solche Tests immer mit veralteten, nicht mehr unterstützten Betriebssystemen, bzw. Browserversionen und/oder mit dem Internet Explorer gemacht?

Es ist handelt sich hier nicht um einen "Test". Außerdem funktioniert der Exploit auch auf aktuellem Windows 8.1 mit aktuellem Firefox und Internet Explorer. Es geht hier nicht darum irgendein Programm zu pushen, indem man es gegen alte Exploits auf veralteten System testet.

Warum nicht mal mit Firefox, Chrome oder Opera?

Bei Chrome hat der Exploit keine Chance, da Chrome eine eigene Version von Flash hat, die in derselben restriktiven Sandbox wie der Renderer läuft. Das bedeutet, das Plugin hat keinen Internetzugriff, keinen Dateisystemzugriff, läuft mit restriktiven Job Objects und unter einem anderen Benutzerkonto etc.

Oder wenigstens die Einstellungen im Internet Explorer zumindest bei der 64-Bit Version hochstellen ("geschützte 64 Bit-Prozesse..." irgendwo bei den Optionen

Es handelt sich hier nicht um einen Exploit für den Browser, sondern für das Plugin, welches von Enhanced Protected Mode nicht umfasst ist.

Warum werden solche Tests nicht mal mit aktiviertem Click-To-Play, Werbeblocker und NoScript (oder vergleichbares mit Chrome/Opera) gemacht?
Oder warum wird nicht mal mit EMET und/oder Sandboxie gegen solche Exploits getestet?

Die wenigsten Leute benutzen click-to-play, noscript, EMET oder Sandboxie.

Es geht nur darum die Leute davon in Kenntnis zu setzen, ob sie gefährdet sind. Es ist sehr mühsam die ganzen Konstellationen durchzutesten, unter denen der Exploit eventuell funktioniert, da Exploit Kits heutzutage sehr viele Abwehrmaßnamen mitbringen, um gerade auf Analysesystem nicht zu zünden.

Ich denke nicht, dass Kafeine dies tut, um andere Leute in Panik zu versetzen. Im Übrigen hat der Exploit zunächst bloß deshalb nicht unter Firefox funktioniert, weil ein Fehler im Exploitkit vorlag. Dies wurde inzwischen korrigiert.

Da Exploit-Kits, allen voran Angler, seit kurzem auch dazu in der Lage sind viele traditionelle AVs und Anti-Executables zu umgehen, halte ich diese Information schon für wichtig.

 

[klopogo]

die news hier sollten definitiv angepasst werden da die lücke nicht gepatched worden ist und so user denken sie wären auf der sicheren seite

 

[Magellan]

Oder gibt es eine Option im Firefox, womit man HTML5-Videos und Animationen (meine jetzt nicht die Animation von .gif, das geht schon seit Ewigkeiten mit der Prefbar) ebenfalls abschalten kann?

Gibts nicht für alles irgend ein Addon? Hab auf die schnelle zb "Stop Tube Html5" gesehen aber weiß nicht ob das nur auf youtube videos oder alle wirkt. Möglich ist es in jedem Fall.

Und wieder die Vorurteile über Flash hier. Nur weil Jobs das Sch... fand, ist es das nicht. Oftmals einfacher zu programmieren als HTML 5-Zeugs.

Das sind leider keine Vorurteile und mit Apple hat es auch nichts zu tun.
Einfacher zu programmieren? Für irgend jemand der keine Ahnung hat und sich irgend welche Animationen zusammenklicken will evtl - am Ende kommt aber halt doch nur inkompatibler proprietärer Müll raus. Viel schlimmer als einzelne Flash Videos sind ja diese kompletten Flash Seiten, mich schaudert es schon wenn ich nur an den Code denke.
Jeder ernsthafte Entwickler weiß warum Flash völlig zurecht ausstirbt.

Und mal ganz weg von der Entwickler Sicht, der Flash Player ist seit es diesen gibt ständig mit sehr kritischen Sicherheitslücken aufgefallen - und das sind nur die von denen Adobe uns erzählt.
Ich will gar nicht wissen von wie vielen nichts gesagt wurde oder wie viele Adobe selbst gar nicht kennt.
Dazu kommt auch noch dass Flash einer der häufigsten Gründe für Crashes ist - wenn mein FF mal in die Knie gegangen ist war fast immer das Flash Plugin schuld, ohne Flash dagegen habe ich praktisch Null Abstürze.

 

[Katillah]

Nutzen echt noch soviele diesen Müll?
Man sollte anstatt sichere Verschlüsselung ohne Backdoor verbieten zu wollen, solche Programme, die eh niemand braucht, die diese Art von Lücken aufweisen verbieten. Aber vielleicht ist das ja so gewollt.

 

[Painkiller72]

Da mir das langsam echt auf den Keks geht und irgendwie nur noch Sicherheitslücken vorhanden sind deaktiviere ich das Plugin mal und schaue ob ich auch so auskomme.

Umso mehr ihren Flash playern schlicht deinstallieren und entsprechende Websites links liegen lassen desto schneller ist das Thema endgültig erledigt. Angesichts der Marktmacht von Android+iOS muss man sich ja wundern dass es nicht bereits das zeitliche gesegnet hat.

Wenn die HTML Entwicklung nicht so abartig langsam wäre würde das auch helfen...

Leute begreift das doch endlich mal.Es wird niemals eine Software oder Plugin geben die keine Sicherheislücken aufweisen.

Selbst HTML wird seine Bugs haben.Mir brauch in Sachen Sicherheit keiner mehr ein Märchen zu erzählen.Abgesehen davon,das Backdoors sogar gewollt sind.

 

[kampion]

Nutzen echt noch soviele diesen Müll?

Gestern abend war ich mit deaktiviertem Flash unterwegs....so ca. jede 4. Seite hat Flash verlangt (keine Werbung).