Der Flash Player ist auf fast jedem Computer installiert und stellt ein Sicherheitsrisiko dar. Ständig tauchen neue Sicherheitslücken auf, die immer öfter von Exploit-Kits missbraucht werden. Dabei sterben Flash-Inhalte im Web allmählich aus. YouTube & Co. setzen bereits auf neue Webtechnologien – aber noch längst nicht alle. Wir müssen Flash endlich den Kampf ansagen.
Die Sicherheitsforscher von F-Secure haben kürzlich die beliebtesten Exploit-Kits von 2015 untersucht. Sie wollten wissen, welche Schwachstellen die Kits am häufigsten ausnutzen. Die Liste der Top 15 Sicherheitslücken zeigt, dass 13 Lücken auf das Konto des Flash Players gehen. Recorded Future kommt zu einem ähnlichen Ergebnis. Unter den Top 10 Sicherheitslücken, die Exploit-Kits missbrauchen, zielen acht auf den Flash Player ab. Die Ergebnisse von F-Secure und Recorded Future bestätigen meine Vermutung, die ich schon seit längerem habe – der Flash Player ist ein riesiges Sicherheitsloch. Ähnlich gefährlich wie Java.
Ein Blick in die CVE-Datenbank (Common Vulnerabilities and Exposures) zeigt, seit 2005 wurden 746 Lücken entdeckt, davon 635 kritische. Alleine im vergangen Jahr gingen sage und schreibe 313 Meldungen ein. Die meisten Sicherheitslücken waren kritisch und zugleich erreichte der Flash Player damit einen neuen Rekordwert. In den Vorjahren lag der Wert im Schnitt bei ca. 60 bis 70 Meldungen. 2015 gab es kaum einen Patchday, an dem keine kritischen Lücken geschlossen wurden. Teilweise erhielt der Flash Player sogar außerplanmäßige Sicherheitsupdates. Trotzdem tauchen immer neue Schlupflöcher auf. Der Flash Player scheint so löchrig wie ein Schweizer Käse.
Flash Player als Einfallstor für Viren und Co.
Bedrohlich, denn der Flash Player ist immerhin auf fast jedem Computer anzutreffen. Entweder bewusst installiert oder unbewusst eingeschleust. Nein, nicht durch einen Virus. Microsoft möchte seinen Webbrowser Edge per Windows-Update zeitnah mit der neusten Version versorgen. Genauso macht es auch Google mit seinem Browser Chrome. Der Anwender braucht sich um nichts kümmern, weil alles unbemerkt im Hintergrund abläuft. So werden Sicherheitslücken immerhin rasch geschlossen. Für Update-faule Nutzer sicherlich ein Plus-Punkt.
Aber die Geschichte hat einen entscheidenden Nachteil. Microsoft und Google öffnen dadurch unfreiwillig ein Einfallstor für Viren, Trojaner und anderes Gewürm. Die wenigsten Anwender bekommen davon etwas mit oder wissen überhaupt, dass der Flash Player bei ihnen installiert ist. Wie viele von euch schauen wirklich, was beim Windows-Update alles gepatched wird? Habt ihr in Google Chrome schon mal chrome://plugins aufgerufen?
Brauchen wir Flash heutzutage überhaupt noch?
Ironischerweise ist Flash dabei, in die ewigen Jagdgründe des WWW einzugehen. Die Webtechnologien sind mittlerweile so weit, dass beispielsweise Browsergames immer häufiger mit freier Software entwickelt werden und für Videos braucht es heute lediglich HTML5. YouTube, Vimeo und Co. setzen bereits seit längerer Zeit darauf. Dem Nutzer fällt das jedoch erst auf, wenn er ihn abstellt. Flash ist ein Relikt, ähnlich wie es einst der Internet Explorer 6 war.
Auf mobilen Endgeräten ist Flash glücklicherweise kein Thema – Steve Jobs sei Dank. Dafür aber unter Windows und Mac OS X. Die Verbreitung ist nach wie vor sehr hoch. Statt den Flash Player zu bekämpfen, investiert Adobe viel Energie in die Entwicklung neuer Webtechnologien. Doch das ist ein langwieriger Prozess. Derweil kann nur jeder selbst aktiv werden und den Flash Player bei sich ausschalten.
Flash Stop: Ich deaktiviere meinen Flash Player!
Ich werde deshalb für zwei Wochen in meinem Browser den Flash Player abschalten. Damit möchte ich herausfinden, wo im Weballtag ich Flash überhaupt brauche. Meinen Erfahrungsbericht veröffentliche ich dann hier auf BASIC thinking. Ihr könnt gerne mitmachen und mir eure Erfahrungen schildern.
Schreibt einfach ein Kommentar, kontaktiert mich über meine sozialen Kanäle oder per E-Mail. Um den Flash Player auf „Click-to-Play“ umzustellen, findet ihr bei How-to Geek eine Anleitung für alle aktuellen Browser. Durch diese Änderung werden Flash-Inhalte nur mit eurem Einverständnis ausgeführt. Wer ganz sicher gehen will, kann den Flash Player gleich ganz deinstallieren.
