Freitag, 8. Februar 2013

Adobe hat in einer Sicherheitsaktualisierung zwei Lücken im Flash Player geschlossen, die von Angreifern bereits aktiv gegen Mac- und Windows-Systeme zu Einschleusung schädlicher Programmanweisungen genutzt werden. Adobe zufolge verwenden die Angreifer für die Übernahme von Computer und Daten sowohl manipulierte Webseiten mit Flash-Inhalt als auch Word-Dokumente mit Flash-Inhalt, welche als E-Mail-Anhang versendet werden. Adobe empfiehlt allen Anwendern dringend die Aktualisierung des Flash Player durchzuführen, sofern dies nicht bereits im Zuge einer automatischen Aktualisierung geschehen ist. Für Mac und Windows steht der Flash Player in Version 11.5.502.149 bereit. Chrome aktualisiert den Flash Player selbstständig auf Version 11.5.31.139. Da anscheinend alle älteren Versionen des Flash Player 11 von der Sicherheitslücke betroffen sind, muss gegebenenfalls ein Upgrade durchgeführt werden. Die aktuelle Version des Flash Player benötigt einen Mac mit Intel-Prozessor sowie mindestens OS X 10.6. Der Download ist rund 16 MB groß.
0
0
21

Kommentare

Chiplet
Chiplet08.02.13 11:01
Ich finde es sollte nicht unerwähnt bleiben, dass Adobe selbst nur von Safari und Firefox als Angriffsziel des Flash-Exploits spricht. Ich vermute mal, dass der Exploit unter Google Chrome nicht funktioniert, weil das Flash-Plugin hier in einer Sandbox läuft. So sollte es sein.
chessboard
chessboard08.02.13 11:07
Warum haben denn die Chrome-Version und der "normale" Flashplayer unterschiedliche Versionnummern? Ich dachte immer, die seien beide auf dem gleichen Stand. Angeblich ist Chrome doch sogar schneller mit dem fixen der Bugs – der Versionsnummer nach sind sie aber ganz schön in Verzug.
Nebenbei: Ich nutze Chrome als Standardbrowser.
Retrax08.02.13 11:51
Wenn die Lücke schon länger aktiv ausgenutzt wurde...

wie kann man feststellen ob das eigene System betroffen ist?
JackBauer
JackBauer08.02.13 11:52
Chiplet
Ich vermute mal, dass der Exploit unter Google Chrome nicht funktioniert, weil das Flash-Plugin hier in einer Sandbox läuft. So sollte es sein.

Was? Google lässt Programme in einer Sandbox laufen? Dann können sie ja gar nicht ihre ganzen Funktionen in der Freiheit ausleben. Was für ein restriktives Unternehmen - sollte Freiheit nicht über Sicherheit stehen?


Das Plug-In ist bei mir trotz aktueller Version noch blockiert - was ist da los?
Gerhard Uhlhorn08.02.13 12:07
Adobe empfiehlt dringend Flash zu aktualisieren, das hält bis zur Entdeckung der nächsten Sicherheitslücke. Ich empfehle dringend Flash zu deinstallieren, erst dann hat man wirklich dauerhaft Ruhe!
ratti08.02.13 13:16
Chiplet
Ich finde es sollte nicht unerwähnt bleiben, dass Adobe selbst nur von Safari und Firefox als Angriffsziel des Flash-Exploits spricht.

Laut den Release-Notes sind mehrere CVE gefixt, ich sehe da nichts von der von dir erwähnten Einstellung. Ich habe heute morgen auch meine Androids updaten müssen.
ratti08.02.13 13:28
chessboard
Warum haben denn die Chrome-Version und der "normale" Flashplayer unterschiedliche Versionnummern?

Da bin ich auch grad neugierig, finde dazu leider nix im Netz. Allerdings: Die Versionsnummern sind auf anderen Plattformen sehr unterschiedlich:

11.5.502.149 Windows and Macintosh
11.2.202.262 Linux
11.1.115.37 Android 4.x
11.1.111.32 Android 3.x and 2.x

Win und Mac sind Class 1 Plattformen, alles andere ist Class 3.

Ich tippe mal darauf, dass Adobe unterschiedlich weit entwickelte Branches hat und die Buildnummer anhängt. Dementsprechend wäre z.B. das Linux-Plugin älter, aber jetzt trotzdem sicher.
Marcel_75@work
Marcel_75@work08.02.13 14:45
Ganz tolle Wurst, wie sie nun den Installer so "zerwürgt" haben, dass man nicht mehr das PKG einfach extrahieren (und entsprechend verteilen) kann.

Nun hat Adobe ein app.bundle rein gebastelt, was letztlich die nötigen Daten erst zieht, wenn der Installer gestartet wurde.

Heißt am Ende: Man darf jetzt schön von Hand sein eigenes PKG bauen, wenn man das ganze vernünftig und zuverlässig verteilen will ...

"Danke" Adobe!
Gerhard Uhlhorn08.02.13 14:56
Adobe, der ehemalige Hersteller von Profi-Software.
aa08.02.13 20:02
Adobe hatte sich doch schon immer wie die Axt im Walde aufgeführt. Wie war das damals noch, nach der Installation der CS (oder Teile davon)? /Library/StartupItems (war doch der, oder?) hatte Schreibrechte für alle. Ein Sicherheits-GAU. Ich meine, das gab es auch ziemlich lange.
Apfelbutz
Apfelbutz08.02.13 21:15
Flash schon lange vom Rechner verbannt.
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
dom_beta09.02.13 01:13
Ohne Flash leider kein South Park
.........
Gerhard Uhlhorn09.02.13 01:35
Was ist South Park? Ein neues Spiel?
aa09.02.13 01:40
Gerhard Uhlhorn
Was ist South Park? Ein neues Spiel?
Wus?!?
Gerhard Uhlhorn09.02.13 01:53
Was, um alles in der Welt, ist denn nun wieder „Wus“?!?

Ich glaube, ich bin zu alt für Eure Abkürzungen.
geobat09.02.13 09:09
Ich denke alle würden Flash lieber Heute als morgen vom Rechner entfernen.
Es ist halt eine Frage dessen, auf welche Internetseiten man zugreifen möchte und ob deren Betreiber auf Flash schon verzichtet haben
Windows nein danke
geobat09.02.13 09:12
Es ist halt leider nicht möglich auf Flash zu verzichten, wenn die Betreiber von Seiten auf die man Zugreifen möchte sich gegen diesen Trend stemmen.
Windows nein danke
ratti09.02.13 17:05
geobat
Es ist halt leider nicht möglich auf Flash zu verzichten, wenn die Betreiber von Seiten auf die man Zugreifen möchte sich gegen diesen Trend stemmen.

Das ist halt nicht so einfach.

1.
Stell dir vor, Du willst Filme _wirklich_ CrossPlatform anbieten. Also nicht bloß Mac, Win,Android,iOS, sondern auch TV-Boxen, Blackberry……das ist sehr heftig. Sicher, mit h264+ogv+webm erreichst Du recht viel, aber nciht alles. Bei Flash weisst Du halt: Wo es ein Plugin läuft, da läuft der Film. Punkt. Die wenigsten Website-Inhaber nehmen jetzt Geld bei der Hand und lassen existierende Flash-Lösungen nacharbeiten. Beim nächsten Relaunch, ja, aber jetzt?

2.
Auch wenn auf Basis experimenteller oder tagesaktueller Lösungen gern das Gegeteil behauptet wird: Nein, HTML5 ist kein vollwertiger Ersatz für Flash für den Durchschnittsuser mit seinem Durchschnittsbrowser. Im Geschäftsalltag sind durchaus noch IE6 unterwegs, einer meiner Kunden wird Ende dieses Jahres auf ie7 „upgraden“(!!!). Da ist dann irgendwas von seinen 10000 Tools nciht für was aktuelleres „zertifiziert“, und dann war's das halt. Will ich nicht diskutieren, hab ich auch ´ne Meinung zu. Aber ist halt so.

3.
Es gibt m.E. keine gescheiten CrossBrowser Authoring-Tools für HTML5.

4.
Lizenzierung von Inhalten geschieht oft auf der Basis, dass das kopieren so weit wie möglich behindert wird. Deswegen labern Radiomoderatoren immer in die Musik rein, das ist ein Kopierschutz. Wer seine Filme in Flash abspielt, hat dem ausreichend genüge getan. Ja, es gibt Download-Tools, ich weiss, aber das ist wie mit dem „reinlabern“: Könnte man mehrfach mitschneiden und kleben, aber vor Gericht reicht das halt als „…wir haben den Content bestmöglich geschützt.“. Irgendein Videodienst ist doch gerade von Flash zu Silverlight migriert(!), aus genau dem Grund. Die hätten sonst keine Filme mehr bekommen.
Retrax09.02.13 18:11
Apple schreibt doch:

"Highly secure from day one.

Apple engineers designed Safari to keep your personal information safe, and they continue to build improvements with each new release. For example, all the websites and applications you use in Safari with Mountain Lion are sandboxed, so they can’t use an exploit to access information on your system. If a website contains malicious code intended to capture personal data or tamper with your computer, sandboxing provides a built-in blocker that restricts the code from doing harm."

Also für mich liest sich das so, dass Safari nicht betroffen ist - weil eh alles gesandboxed wird.

Oder stellt der FlashPlayer eine Ausnahme dar?
Marcel_75@work
Marcel_75@work10.02.13 15:01
Es gibt übrigens doch noch eine Quelle für ein "normales DMG", in dem sich dann auch das herkömmliche PKG versteckt:

Allerdings muss man da auch erst mal allen möglichen Sch*** ausfüllen und vor allem aufpassen, dass man sich nicht für Adobes verschiedene Verteiler anmeldet, dann soll man weitere Informationen bekommen (bisher warte ich noch darauf).
Marcel_75@work
...

Heißt am Ende: Man darf jetzt schön von Hand sein eigenes PKG bauen, wenn man das ganze vernünftig und zuverlässig verteilen will ...
Marcel_75@work
Marcel_75@work12.02.13 17:17
Übrigens gibt es schon wieder eine neue Version: 11.6.602.167

Hier ein DMG, in dem sich auch noch das herkömmliche PKG befindet (für Offline-Installationen):

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

Mein erstes Apple Produkt war ein...

  • Desktop-Mac (PPC oder Intel)29,4%
  • Apple-Notebook (PPC oder Intel)18,4%
  • Klassischer Macintosh (68k)24,1%
  • Apple-Notebook/Portable (68k)2,7%
  • iPod14,5%
  • iPhone4,3%
  • iPad0,2%
  • Apple Watch0,0%
  • Andere Apple-Peripherie (Drucker, Webcam, Maus, Tastatur etc.)0,2%
  • Apple I/II, Lisa5,1%
  • Sonstiges1,2%
1201 Stimmen17.08.15 - 31.08.15
1724