Adobe will Flash-Lücke erst nächste Woche schließen
Im Flash Player klafft eine kritische Lücke, über die Angreifer das System komplett übernehmen können. Diese wird bereits aktiv ausgenutzt. Adobe will sich trotzdem bis nächste Woche mit dem Patch Zeit lassen.
(Bild: Oregon Department of Transportation, CC-BY-2.0)
- Fabian A. Scherschel
Wie Adobe in einer Sicherheitsmeldung verlauten lässt, will man die nach wie vor offene, kritische Flash-Lücke irgendwann in der kommenden Woche abdichten. Die Sicherheitslücke (CVE-2015-0311) wird momentan aktiv für Angriffe verwendet und heise Security hat von mehreren Lesern Hinweise erhalten, dessen Rechner den Attacken bereits zum Opfer gefallen sind. Ein genaues Datum für die Auslieferung des Updates nannte die Firma nicht, diese soll "in der Woche beginnend am 26. Januar" erfolgen.
Der Flash-Player sollte deinstalliert werden
Bis das Update eintrifft, sollten Nutzer den Flash Player besser deinstallieren. Angreifer können die Lücke missbrauchen, um aus der Ferne beliebigen Code in das System des Opfer einzuschleusen. Landet der Nutzer auf einer Webseite, auf der über Flash Schadcode verteilt wird – etwa durch Werbe-Banner von Drittseiten – ist es schon zu spät. Aus diesem Grund sollte man Flash bis auf weiteres den Saft abdrehen.
Zum einen kann man dazu die Software auf dem üblichen Weg entfernen. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".
Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausführt, kann man bei Adobe testen. (fab)
