So schützen Sie sich vor der Flash-Lücke

Inhaltsverzeichnis

Wer mit aktivem Flash-Plugin surft, ist in akuter Gefahr: Gegen die hochkritische Flash-Lücke ist nach wie vor kein Kraut gewachsen. Sie wird bereits seit geraumer Zeit von Online-Kriminellen zur Verbreitung von Schadcode missbraucht – und dieser kann prinzipiell überall lauern. Schützen kann man sich nur, indem man Flash deinstalliert oder die Ausführung des Plugins im Browser einschränkt. Das rät auch das Bürger-CERT des Bundesamts für Sicherheit in der Informationstechnik in seiner Alarmmeldung. Es hat der Lücke die höchstmögliche Risikostufe zugewiesen.

Adobe ist ratlos

Der Flash-Hersteller Adobe hält sich indes mit konkreten Handlungsempfehlungen zurück. Auf eine Anfrage von heise Security, wie sich Flash-Nutzer angesichts der realen Bedrohungslage verhalten sollten, antwortete das Unternehmen nur mit allgemeinen Sicherheits-Tipps: "regelmäßige Softwareupdates sowie die Nutzung von automatischen Softwareupdates" – es steht außer Frage, dass diese Maßnahmen im aktuellen Fall wirkungslos sind, schließlich bietet Adobe noch kein Sicherheitsupdate an, das die Lücke schließen würde.

Auch "der Einsatz von Schutzsoftware wie beispielsweise Firewall und Virenschutzprogrammen" ist keine Garantie dafür, dass der Angriffscode abgefangen wird. Schließlich gehört es zum Handwerk der Angreifer, die Exploits so lange zu modifizieren, bis sie nicht mehr von gängiger Schutzsoftware erkannt werden. Der Software-Hesteller verweist zudem auf einen Eintrag in seinem Security-Blog, in dem jedoch keine Schutzmöglichkeiten nennt. Das Advisory zur Lücke wurde indes überarbeitet und den 11er Versionszweig aus der Liste der betroffenen Flash-Versionen entfernt.

Flash abschalten

Ein Sicherheits-Update, das die Lücke schließt, soll noch im Laufe der aktuellen Woche erscheinen. Zumindest bis dahin sollte man Flash deaktivieren – und vor allem auch Freunden, Familie und Bekannten dazu raten. Entscheidend ist, dass der Browser nicht mehr auf das Flash-Plugin zugreifen kann. Im einfachsten Fall deinstalliert man Flash. Nutzer des Internet Explorer unter Windows 8.x sowie Chrome-Nutzer müssen Flash zudem in den Browser-Einstellungen deaktivieren, da die Browser separate Kopien des Plugins mitbringen.

Click-to-Play

Wer nicht ganz auf Flash verzichten möchte oder kann, aktiviert die Click-to-Play-Funktion, welche einige Browser inzwischen bieten. Dann führt der Browser ein Plugin erst aus, wenn man auf einen Platzhalter klickt. So kann man im Zweifelsfall etwa den Video-Player auf einer Seite nutzen, während die potenziell schädliche Flash-Werbung inaktiv bleibt. In den bisher bekannten Fällen wurde der Angriffscode über Anzeigennetzwerke ausgeliefert, wodurch er unter anderem beim Besuch des Videoportals DailyMotion ausgeliefert wurde.

Chrome-Nutzer etwa klicken auf den Menüknopf oben rechts „Einstellungen“ und tippen „Click“ in das Feld „In Einstellungen suchen“ ein. Die gelben Markierungen weisen jetzt den Weg zu der Option Click-to-Play. Firefox bietet zwar eine entsprechende Einstellung, die man über "about:config" erreicht, diese wird aber anscheinend in der aktuellen Version ignoriert. Man kann sich jedoch mit der Browser-Erweiterung Flashblock behelfen.

Beim Internet Explorer klickt man zunächst auf das Zahnradsymbol oben rechts, "Add-Ons verwalten", "Anzeigen: Alle Add-Ons". Anschließend klickt man im Kontextmenü des "Shockwave Flash Object" auf "Weitere Informationen" und leert mit "Alle Sites entfernen" die Liste der Sites, auf denen Flash automatisch ausgeführt wird. Wie man Flash innerhalb des Browsers komplett deaktiviert, haben wir hier beschrieben.

Ob der Browser auf Flash zugreifen kann, erfährt man auf einer Testseite von Adobe. Erscheint dort die Versionsnummer des Flash Player, ist er noch aktiv. Wenn stattdessen nur ein Platzhalter zu sehen ist, hat man Flash erfolgreich auf Eis gelegt.

Update vom 5. Februar, 11:50: Adobe hat damit begonnen, die abgesicherte Version 16.0.0.305 zu verteilen. (rei)