Sicherheitslöcher im Flash Player

[Madokan]

Leider kann man nicht immer gute Nachrichten verbreiten. Einer Meldung des PC-Magazin zu Folge existieren einige Sicherheitslöcher im Flash Player, welche potentielle Angreifer ausnutzen können um Kommandos ausführen. Die Angreifer sind hierüber in der Lage an vertrauliche Daten zu gelangen. Die Sicherheitslöcher stecken nach Adobe-Angaben in sämtlichen Flash-Player ab der Version 7.0 und betreffen sämtliche Plattformen.

mehr hier:
http://www.pc-magazin.de/common/nws/...g.php?id=48467

Hinweis
In der aktuellen Beta Version des Flash Player 9 wurden die Sicherheitslöcher bereits gestopft. (http://labs.adobe.com/downloads/flashplayer9.html)

Liebe Grüsse,
Matze K.

[kugelfunk]

http://www.heise.de/newsticker/meldung/79732

Enthält die Links zur Adobe-Meldung und zu "Rapid7", die wohl den Fehler entdeckt haben.

[messingfeld]

Zitat:

Zitat von kugelfunk

http://www.heise.de/newsticker/meldung/79732

Enthält die Links zur Adobe-Meldung und zu "Rapid7", die wohl den Fehler entdeckt haben.

Jep und vorgeschlagen werden folgende Lösungen:

-> Beta Version des Flashplayer installieren
-> nur vertrauenswürdige Seiten besuchen
-> FlashPlayer deaktivieren / deinstallieren
-> alternative Player verwenden

Wo ist eine vernüftige Lösung für den normalen Endanwender?

Dazu ist diese Lücke leicht auszunutzen, eigentlich ist es für jeden Anfänger möglich einen Exploit zu erstellen.

Zu guter Letzt wurde Adobe diese Sicherheitslücke schon am 18. September 2006 gemeldet.

Global operierendes Unternehmen mit dem Hauptsitz in Redmond lässt grüssen.

[Brigitte]

Das freut dann wieder die Administratoren in großen/mittelgroßen Firmen, die ja schon immer gegen Flashseiten waren. Nun haben sie es endlich schriftlich - Flash ist gefährlich.

[michael]

nunja, sicherheitslücken gab es immer und wird es immer geben, was mich beunruhigt ist die tatsache das es kein offizielles release mit patch gibt sondern nur eine betaversion.

[shorty]

Wie hoch mag der Stellenwert des Flashplayers bei Adobe wohl sein?

Zitat:

Zitat von Adobe

Laut Fehlermeldung arbeitet Adobe bereits an einer Lösung. Bis dahin sollten Anwender entweder das Flash-Plug-in auf die aktuelle Beta-Version aktualisieren, es deinstallieren oder nur vertrauenswürdigen Seiten die Nutzung von Flash gestatten.

Ich hoffe die schmeissen den typen der den mist zusammen gestammelt hat hochkantig raus.

lächerliche alternative, globalplayer und schon geht nix mehr. Unglaublich.

[rena]

Lücken, egal welche Technologie betreffend, gab es immer, gibt es und wird es auch immer geben. Das liegt in der Natur/Komplexität der Sache und so auch eben beim Flashplugin. Ich glaub die erste sogenannte Flash-Sicherheitslücke, von der ich erfahren habe, war als Flash 5 noch aktuell war.
Sicher war und ist sowieso nur eins, nämlich das nichts wirklich sicher ist/bleibt.

Ich geb dieser Nachricht zwei Wochen Relevanz, dann spricht keiner mehr davon bzw. es bleibt wie es immer war: Diejenigen die Flash mögen/wollen werden es weiter mögen/wollen. Die anderen mochten/wollten es schon vorher nicht und das wird sich auch nicht (oder nur sehr langsam und wenn, dann unabhängig von der aktuellen Meldung) ändern.
Ok - manche mögen auf so eine Meldung hin das Lager wechseln. Aber andere kommen aufgrund der Möglichkeiten von Flash neu dazu.
Und wenn ein Kunde aufgrund dessen plötzlich doch lieber keine Flashseite mehr haben will? Auch in Ordnung - dann bekommt er jetzt halt eine in html/php/css und den Flash-Relaunch (sofern - das auch jetzt schon - für die Aufgabenstellung sinnvoll) dann in ein/zwei Jahren.

Gruß
Rena
... locker bleiben

[Ghanji]

Also ein Armutszeugnis ist es schon von Adobe noch keinen Fix veröffentlicht zu haben, zumal es in der Beta ja bereits behoben zu sein scheint.
Für viele Sysadmins rutscht Flash damit mal wieder bis auf weiteres in die Schublade "Potentielles Sicherheitsrisiko".
Klar können Exploits vorkommen, aber der Imageschaden könnte doch durch zügiges Handeln der Verantwortlichen im Rahmen gehalten werden.
Allein eine empfohlene Deinstallation oder ein Upgrade des Plugins kann in manchen Unternehmen tausende Euros verschlingen...
Ghanji

[Madokan]

@messingfeld:

Zitat:

Global operierendes Unternehmen mit dem Hauptsitz in Redmond lässt grüssen.

Na da ist doch Adobe in guter Gesellschaft.

@Brigitte: Einen Sys-Admin wirst nie von Flash überzeugen können. Egal wie gut oder schlecht Flash auch sein mag!

@michael: Richtig - hier müsste Adobe schneller reagieren!

@shorty:

Zitat:

Wie hoch mag der Stellenwert des Flashplayers bei Adobe wohl sein?

Sehr hoch - siehe die neuen Produkte, wie Contribute 4, Captivate 2, Acrobat 8, etc.

Zitat:

Ich hoffe die schmeissen den typen der den mist zusammen gestammelt hat hochkantig raus.

Da sag ich nur: "Wer ohne Bug ist der werfe das erste Bit!".

@rena:

Zitat:

Lücken, egal welche Technologie betreffend, gab es immer, gibt es und wird es auch immer geben. Das liegt in der Natur/Komplexität der Sache und so auch eben beim Flashplugin. Ich glaub die erste sogenannte Flash-Sicherheitslücke, von der ich erfahren habe, war als Flash 5 noch aktuell war.
Sicher war und ist sowieso nur eins, nämlich das nichts wirklich sicher ist/bleibt.

So wird es auch bleiben! Schließlich sind Menschen daran beteiligt und wir machen alle Fehler.

@all: Ganz abgesehen davon, dass Sicherheitslücken und fehlerhafte Anwendungen nicht wirklich viel Freude bringen, bin ich davon überzeugt, dass wir in Zukunft nicht nur in Flash neue und aufregende Probleme vorfinden werden. Ich freue mich bereits jetzt schon auf die schöne neue AJAX/Web 2.0 Welt.

Aber eines möchte ich nicht verschweigen - ich würde ungern auf eine Weiterentwicklung verzichten wollen!

Liebe Grüsse,
Matze K.

[Madokan]

Hier hätte ich noch was zum Thema Sicherheitslücken:
http://www.hardened-php.net/library/...icy_files.html

Liebe Grüsse
Matze K.

[ballaballa]

Zitat:

Zitat von messingfeld

Dazu ist diese Lücke leicht auszunutzen, eigentlich ist es für jeden Anfänger möglich einen Exploit zu erstellen.

hmm ich finds witzig das sogar noch ne anleitung bei der warnung existiert... so nach dem motto ...hier schautma und so gehts... gerade dadurch könnens dann auch newbies .... abr das bürgert sich wohl ein... gabs da nicht mal ein gesetz von wegen anleitung zu straften...?

[bishop]

Exploits werden veröffentlicht, um den Druck auf die Unternehmen zu erhöhen. Whitehats haben sich der allgemeinen Bewegung angeschlossen, erst das Unternehmen zu informieren und dann die Community. Früher war es oft nicht so. Heute scheinen einige Unternehmen diese Problematik nicht oder nicht mehr ernst zu nehmen, weshalb wieder verstärkt die alte Variante genutzt wird.

Ich finde es gut, denn dadurch werden Verbesserungen schneller angeschoben. Zwar nicht wg. dem Sicherheitsbedürfnis des Unternehmens, wohl eher aus Imagegründen aber das Ziel, ein Patch ist gegegeben.

“Nur vertrauenswürdige Seiten” ? Hm, liebe Advertiser… bitte schmeisst Flash aus der Banner-Rotation, ich kann nicht jeder Seite, Flash verbieten. Haben die mal drüber nachgedacht? Am besten doch gleich deinstallieren.

[ballaballa]

ich sehe das ähnlich wie du ... nur bin ich da auch vorsichtig... ich denke exploits zu posten hat seinen sinn... wenn es bereits wirklich einen fix gibt und erst dann!

[questionner]

Zitat:

Zitat von rena

Ich geb dieser Nachricht zwei Wochen Relevanz, dann spricht keiner mehr davon bzw. es bleibt wie es immer war...
Gruß
Rena
... locker bleiben

So und nicht anders: ist eine gut durchgezogene PR-Strategie, um die neuesten Versionen zu verbreiten. Grundsätzlich sollte ja davon ausgegangen werden, dass selbst lästige Werbung keine falschen header anbieten wie beschrieben und eine 0815- oder professionelle Seite ebenso. Wer Hacker- oder xxx-Sites besucht, sollte ja nicht naiv so etwas besuchen.

... ergo, locker bleiben, Neues muss angepriesen werden, der Konkurrenzkampf ist doch groß für's web 2.0.

[ballaballa]

Zitat:

Zitat von questionner

Wer Hacker- oder xxx-Sites besucht, sollte ja nicht naiv so etwas besuchen.

du bist beim googlen noch nie auf so eine "fishing-seite" gestossen?