Das bekannte Sorgenkind Adobe Flash-Player bereitet IT-Verantwortlichen von Unternehmen erneut Kopfzerbrechen. Anlass sind die jüngst aufgetauchten Sicherheitslücken CVE-2015-5122 und CVE-2015-5123, welche es Angreifern erlauben einen Schadcode auf den Rechnern der Opfer laufen zu lassen. Das die Lücke nicht nur theoretische Bedeutung hat zeigt ein fertiger Beispielexploit der den Windows-Calculator starten kann. Konkret nutzt die Lücke ein Problem in der Speicherverwaltung des Flash-Players und adressiert die Flash-Versionen bis 18.0.0.203 für Windows und OS X sowie bis 18.0.0.204 für Linux mit Chrome. Ferner sind Extended Support Releases bis 13.0.0.302 für Windows und Mac sowie 11.2.202.481 für Linux betroffen. Die Lücken sind umso kritischer, da Chrome wie auch Internet Explorer in den aktuellen Versionen eine Flash-Unterstützung von Haus aus mitliefern. Adobe selbst deklariert die Lücke als „critical“.
Was bisher geschah
Gefunden wurde eine Lücke von Fireeye wie auch von TrendMicro. Der Angriff erfolgt nach einem ähnlichen Schema wie in der – per Notfallupdate geschlossenen – Lücke CVE-2015-5119 aus der Vorwoche. Damit stammen alle drei Leaks aus der Toolsammlung der italienischen Sicherheitsfirma „Hacking Team“, die Opfer eines Datendiebstahls wurde und dabei gezwungenermassen über 400GB an Firmeninterna preisgab.
Hilft Dir niemand, hilf Dir selbst!
Adobe will erst nächste Woche einen Patch zur Verfügung stellen. Daher empfiehlt es sich auf die Unterstützung der Antiviren-Hersteller zu hoffen und seine Virendefinitionen stets auf aktuellem Stand zu halten. Über die Windows- resp. Chrome Updates werden die hauseigenen Browser-Plugins zu gegebener Zeit automatisch mit dem dringend notwendigen elektronischen Pflaster versorgt.
Wer nicht warten möchte kann Flash manuell deaktivieren resp. deinstallieren. Sofern Flash-Player als 3rd-Party Software bereit gestellt wurde geschieht dies ganz profan über eine manuelle Deinstallation der Software. Die hauseigenen Browser-Plugins von Chrome und IE lassen sich über die jeweilige Verwaltung direkt im Browser deaktivieren:
Unter Chrome geschieht dies über die Plugins-Page.
Bei Internet Explorer hilft das Deaktivieren des Plugins unter „Add-Ons Verwalten“.
Die Zölibatslösung
Wie immer stellt sich nicht zuletzt die Frage, ob die Dienste des Flash-Players tatsächlich benötigt werden. In der Vergangenheit wurde so manche Lücke in Flash-Player entdeckt, teils spät oder widerwillig geschlossen. Fragt sich, ob der Genuss von multimedialem Webcontent die Sicherheitsrisiken rechtfertigen. Zumindest im Unternehmensumfeld darf diesbezüglich eine ehrliche Diskussionsrunde eröffnet werden.