So schützen Sie sich vor der Flash-Lücke

Während Adobe weiterhin keine konkreten Schutzmaßnahmen kennt oder nennt, rät das BSI ganz klar zur Deinstallation des Flash Player. Wer nicht handelt und Flash weiterhin aktiv lässt, geht ein großes Risiko ein.

In Pocket speichern vorlesen Druckansicht 286 Kommentare lesen
So schützen Sie sich vor der Flash-Lücke
Lesezeit: 4 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Das Bürger-CERT hat aufgrund der akuten Gefahr eine Alarmmeldung herausgegeben.

Wer mit aktivem Flash-Plugin surft, ist in akuter Gefahr: Gegen die hochkritische Flash-Lücke ist nach wie vor kein Kraut gewachsen. Sie wird bereits seit geraumer Zeit von Online-Kriminellen zur Verbreitung von Schadcode missbraucht – und dieser kann prinzipiell überall lauern. Schützen kann man sich nur, indem man Flash deinstalliert oder die Ausführung des Plugins im Browser einschränkt. Das rät auch das Bürger-CERT des Bundesamts für Sicherheit in der Informationstechnik in seiner Alarmmeldung. Es hat der Lücke die höchstmögliche Risikostufe zugewiesen.

Der Flash-Hersteller Adobe hält sich indes mit konkreten Handlungsempfehlungen zurück. Auf eine Anfrage von heise Security, wie sich Flash-Nutzer angesichts der realen Bedrohungslage verhalten sollten, antwortete das Unternehmen nur mit allgemeinen Sicherheits-Tipps: "regelmäßige Softwareupdates sowie die Nutzung von automatischen Softwareupdates" – es steht außer Frage, dass diese Maßnahmen im aktuellen Fall wirkungslos sind, schließlich bietet Adobe noch kein Sicherheitsupdate an, das die Lücke schließen würde.

Auch "der Einsatz von Schutzsoftware wie beispielsweise Firewall und Virenschutzprogrammen" ist keine Garantie dafür, dass der Angriffscode abgefangen wird. Schließlich gehört es zum Handwerk der Angreifer, die Exploits so lange zu modifizieren, bis sie nicht mehr von gängiger Schutzsoftware erkannt werden. Der Software-Hesteller verweist zudem auf einen Eintrag in seinem Security-Blog, in dem jedoch keine Schutzmöglichkeiten nennt. Das Advisory zur Lücke wurde indes überarbeitet und den 11er Versionszweig aus der Liste der betroffenen Flash-Versionen entfernt.

Ein Sicherheits-Update, das die Lücke schließt, soll noch im Laufe der aktuellen Woche erscheinen. Zumindest bis dahin sollte man Flash deaktivieren – und vor allem auch Freunden, Familie und Bekannten dazu raten. Entscheidend ist, dass der Browser nicht mehr auf das Flash-Plugin zugreifen kann. Im einfachsten Fall deinstalliert man Flash. Nutzer des Internet Explorer unter Windows 8.x sowie Chrome-Nutzer müssen Flash zudem in den Browser-Einstellungen deaktivieren, da die Browser separate Kopien des Plugins mitbringen.

Wer nicht ganz auf Flash verzichten möchte oder kann, aktiviert die Click-to-Play-Funktion, welche einige Browser inzwischen bieten. Dann führt der Browser ein Plugin erst aus, wenn man auf einen Platzhalter klickt. So kann man im Zweifelsfall etwa den Video-Player auf einer Seite nutzen, während die potenziell schädliche Flash-Werbung inaktiv bleibt. In den bisher bekannten Fällen wurde der Angriffscode über Anzeigennetzwerke ausgeliefert, wodurch er unter anderem beim Besuch des Videoportals DailyMotion ausgeliefert wurde.

Sieht man auf der Adobe-Testseite im rot markierten Bereich nur einen Platzhalter, hat man den Flash Player erfolgreich deaktiviert. Wenn er noch läuft, steht dort seine Versionsnummer.

Chrome-Nutzer etwa klicken auf den Menüknopf oben rechts „Einstellungen“ und tippen „Click“ in das Feld „In Einstellungen suchen“ ein. Die gelben Markierungen weisen jetzt den Weg zu der Option Click-to-Play. Firefox bietet zwar eine entsprechende Einstellung, die man über "about:config" erreicht, diese wird aber anscheinend in der aktuellen Version ignoriert. Man kann sich jedoch mit der Browser-Erweiterung Flashblock behelfen.

Beim Internet Explorer klickt man zunächst auf das Zahnradsymbol oben rechts, "Add-Ons verwalten", "Anzeigen: Alle Add-Ons". Anschließend klickt man im Kontextmenü des "Shockwave Flash Object" auf "Weitere Informationen" und leert mit "Alle Sites entfernen" die Liste der Sites, auf denen Flash automatisch ausgeführt wird. Wie man Flash innerhalb des Browsers komplett deaktiviert, haben wir hier beschrieben.

Ob der Browser auf Flash zugreifen kann, erfährt man auf einer Testseite von Adobe. Erscheint dort die Versionsnummer des Flash Player, ist er noch aktiv. Wenn stattdessen nur ein Platzhalter zu sehen ist, hat man Flash erfolgreich auf Eis gelegt.

Update vom 5. Februar, 11:50: Adobe hat damit begonnen, die abgesicherte Version 16.0.0.305 zu verteilen. (rei)