Forderungen nach offiziellem EoL-Datum werden nach Sicherheitslücken im Flash-Player immer lauter

Flash: ein Ende mit Schrecken – oder ein Schrecken ohne Ende?
Kommentare

Seit mehr als einer Woche gibt es fast täglich aktuelle Meldungen zu neuen Sicherheitslücken, Patches und der Zukunft von Flash. Gerade letzteres ist kein Wunder – nachdem vergangene Woche der Hack des Hacking Teams bekannt wurde, wurden auch mehrere kritische Sicherheitslücken in der Adobe Software gefunden, die erst nach und nach mit Fixes versehen wurden.

Dass Flash überhaupt noch so umfangreich im Web eingesetzt wird, ist für viele Webdesigner und –entwickler sowieso unverständlich, immerhin ist die neue Serie von Sicherheitslücken nicht die erste – und je nach weiterer Überlebensdauer vermutlich auch nicht die letzte. Dementsprechend ist es wenig überraschend, dass einmal mehr Rufe laut werden, die das endgültige End-of-Life von Adobes Flash-Software fordern.

Mehrere Schwachstellen im Flash-Player entdeckt

Doch fangen wir am besten mal von vorne an. Anfang vergangener Woche wurde der Leak der Spyware-Entwickler Hacking Team bekannt, der dafür sorgte, dass 400 GB interner Dateien, Source Code und E-Mails für jedermann auf Torrent-Seiten zum Download zur Verfügung standen. Dabei wurden insbesondere mehrere kritische Sicherheitslücken gefunden, die unter anderem Adobe Flash sowie das Windows-Betriebssystem angreifbar machten.

Mittlerweile wurde dafür zwar bereits ein Sicherheitsupdate herausgegeben, das zudem zahlreiche weitere Sicherheitslücken geschlossen hat. Trotzdem war das noch lange nicht das Ende der Schwachstellenserie im Flash-Player. Denn nur wenige Tage später tauchten noch zwei weitere Schwachstellen auf, die vermutlich ebenfalls aus dem Hacking-Team-Leak herrühren – und auch bereits in Exploit-Kits zum Einsatz kamen. Die Zero-Day-Lücken unter den Bezeichnungen CVE-2015-5122 und CVE-2015-5123 betreffen ebenfalls alle gängigen Betriebssysteme und ermöglichen es Angreifern, das System zu übernehmen.

Firefox blockiert Flash-Videos – zumindest temporär

Doch obwohl auch für die neuen Schwachstellen zwischenzeitlich Fixes zur Verfügung stehen, bleibt die Frage nach der Sicherheit des Flash-Players. So war ein viel gehörter Ratschlag in den letzten Tagen, die Software entweder zu deaktivieren oder gleich ganz zu entfernen – ein Schritt, den Danny Yadron im Blog des Wall Street Journals folgendermaßen beschreibt:

This left browser makers with an uncomfortable choice: Don’t let some users watch online videos, or expose them to hackers.

Entschieden hat man sich zumindest bei Google und Mozilla dafür, zumindest temporär auf die Ausführung von veralteter Adobe Software zu verzichten und die betroffenen Flash-Versionen zu blockieren. Erst wenn das entsprechende Update zur Verfügung steht, soll zumindest Firefox Flash auch wieder automatisch unterstützen, erklärte Mark Schmidt auf Twitter:

Schon früher hat Mozilla in seinem Firefox-Browser beispielsweise Plugins wie Flash oder Java blockiert, wenn sie Sicherheitslücken aufwiesen. Doch nicht nur seitens der Browser-Hersteller wurden Rufe nach dem End-of-Life von Flash laut. Auch Facebooks neuer Chief Security Officer Alex Stamas hat Adobe dazu aufgefordert, endlich das offizielle EoL des Flash-Players einzuläuten, denn, so sagt James Vincent:

the software has become the vector for just too many hacking vulnerabilities.

Das Problem dabei: Selbst wenn Flash ein tatsächliches Enddatum bekäme, dürfte der Übergang sich hinziehen. Gerade für kleinere Unternehmen würde es schwierig, auf andere Technologien wie HTML5 umzusteigen, selbst wenn ihnen dafür eine gewisse Übergangszeit eingeräumt würde. Dazu kommt, dass dies nicht die erste Reihe von Sicherheitslücken ist, die dem Ruf von Flash weiter schaden – und trotzdem gibt es die Software noch an unzähligen Stellen im Web.

Warum ist Flash nicht totzukriegen?

Schon in der Vergangenheit hat Flash nicht gerade als überaus sichere Software geglänzt. Darum gibt es schon seit Jahren unzählige Entwickler, Webdesigner und Nutzer, die hoffen, dass die von Adobe herausgegebene Software endlich ein offizielles End-of-Life-Datum erhält. Besonders bekannt (oder berüchtigt) dürfte dabei die Erklärung von Steve Jobs aus einem offenen Brief aus dem Jahr 2010 sein. In „Thoughts on Flash“ erklärte er, dass Flash aus Gründen einer schwachen Performance und vor allem einer schlechten Sicherheit nicht auf Apple-Devices erlaubt sein soll.

Doch nicht nur die Performance und die Sicherheit sind eindeutige Argumente, die für die Einstellung der Nutzung von Flash sprechen. In den letzten Jahren ging der Support der Adobe Software stetig zurück. So ersetzte YouTube seinen vormals mit Flash betriebenen Default-Player Anfang des Jahres mit der neuen HTML5-Technologie, und seit kurzem pausiert Googles Browser Chrome Flash-Video-Instanzen von selbst, um die Akkulaufzeit bei Laptops zu verlängern.

Trotz solch eindeutiger Anti-Flash-Maßnahmen ist die Software aber nicht totzukriegen. Als einen möglichen Grund dafür nennt zum Beispiel Nico Bruenjes den wirtschaftlichen Haken, der die Einstellung verhindert. So setzt ein Großteil der Banner- und Online-Werbeindustrie auf Flash, und durch den Wegfall der Software würde auch ein umfangreicher Teil des Webs nicht mehr richtig oder gleich gar nicht mehr funktionieren.

Das Argument von Bruenjes trifft den Nagel auf den Kopf. Denn in der Tat ist es die Werbeindustrie, die sich nicht so leicht von Flash trennen kann. Das ist wenig überraschend, denn Flash ist nicht nur günstiger in der Nutzung, man muss auch nicht mit einem unzureichenden Support seitens der Browser kämpfen wie das etwa bei HTML5 der Fall ist.

Allerdings: der Schritt zu einem sicheren Web muss gemacht werden. Das sieht auch Rick McCormick so und erklärt:

This latest wave of anti-Flash action might not kill it immediately, but it should at least markt he beginning of the end of the software.

Aufmacherbild: Grunge skull isolated on white (vector illustration) (modifiziert) von Shutterstock / Urheberrecht: wawritto

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -