Windows 8 vor Veröffentlichung mit Flash-Lücke

Den bei Windows 8 im Internet Explorer integrierten Flash Player aktualisiert Microsoft bislang nicht. Dadurch bleiben Nutzer des neuen Betriebssystems Risiken ausgesetzt, die Adobe bereits beseitigt hat.

In Pocket speichern vorlesen Druckansicht 115 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Wie Googles Chrome hat auch Microsoft in der kommenden Version 10 des Internet Explorer den Flash-Player bereits integriert und kümmert sich selbst um die Updates. Oder auch nicht. Denn in Windows 8 ist nach wie vor die Version 11.3.372.94 vom 19. Juli 2012 installiert, obwohl es von Adobe bereits am 15. August ein Sicherheitsupdate gab, dem nach nur einer Woche ein weiteres folgte.

Adobes Windows-Version des Flash-Player trägt seitdem die Nummer 11.4.402.265. Er schloss unter anderem die Zero-Day-Lücke CVE-2012-1535. Dabei handelt es sich um einen Pufferüberlauf, den manipulierte Font-Dateien in einem Flash-Dokument auslösen. Angreifer nutzen ihn mit der Heap-Spray-Technik aus. Anschließend wird in mehreren Schritten ein ausführbares Programm heruntergeladen, wie es etwa Alienvault beschreibt. Die präparierten Flash-Daten sind in einem Word-Document eingebettet. Adobe ordnete die Lücke der größten Gefährdungsstufe 1 zu.

Microsoft selbst warnt in seinem "Malware Protection Center" vor diesem Bug und fordert seine Kunden auf, den Flash-Player zu aktualisieren oder andere Sicherheitsmaßnahmen zu ergreifen. Nutzer von Windows 8 haben jedoch keine Möglichkeit mehr, den Player selbst zu aktualisieren, erläutert Adobe in seinem Support-Dokument (PDF).

Sie müssen sich auf Microsofts automatisches Updates verlassen. Wie ZDNet berichtet, ist diese Technik für Windows 8 jedoch noch nicht aktiviert, da die Software noch nicht "allgemein verfügbar" (GA) sei. Ein Microsoft-Sprecher sagte dem Medium zufolge: "Wir werden ein Sicherheitsupdate per Update-Funktion im Zeitrahmen der allgemeinen Verfügbarkeit bereitstellen." Der Termin für diese "General Availability" ist der 26. Oktober.

Allerdings bietet Microsoft bereits seit Mitte August die GA-Version Abonnenten seiner MSDN- und Techet-Programme zum Herunterladen an. Unternehmen steht seitdem eine auf 90 Tage befristete Testversion von Windows 8 Enterprise zur Verfügung. Erst vor wenigen Tagen hatte Microsoft Windows 8 automatisch aktualisiert und dabei die von der EU verlangte Browser-Auswahl nachgerüstet.

Als erster Browser-Anbieter war Google mit der Chrome-Version 5 Mitte 2010 dazu übergegangen, den Flash-Player fest in den Browser zu integrieren und seine Aktualisierung selbst zu übernehmen. Sowohl die stabile Chrome-Version 21 als auch die im Entwickler-Channel bereitgestellte Windows-8-Variante (Version 23) des freien Browsers benutzten den aktuellen Flash-Player 11.4. (ck)