Der Flash Player ist unsicher - und Adobe lässt sich zwei Tage Zeit fürs Update

Es vergeht kaum ein Monat, ohne dass Adobe ein Notfallupdate für den Flash Player veröffentlichen muss, um kritische Sicherheitslücken zu schließen.

Adobe hat 95 Sicherheitslücken geschlossen, darunter etliche kritische Schwachstellen in Adobe Acrobat und im Adobe Reader. Das Problem ist die eine Lücke, die das Unternehmen nicht geschlossen hat. Sie heißt CVE-2016-4117 und betrifft - natürlich, mal wieder - den Flash Player.

Die Flash-Versionen 21.0.0.226 und niedriger auf allen Betriebssystemen (Windows, OSX, Linux und Chrome OS) sind verwundbar. Adobe gibt selbst zu, dass bereits ein Exploit existiert, Angreifer die Lücke also ausnutzen könnten. Ein Update können Nutzer jedoch frühestens am morgigen Donnerstag herunterladen. Bis dahin bleibt der Flash Player ein Sicherheitsrisiko.

Ergänzung: Anscheinend wurden im Rahmen des Microsoft Patch Tuesday (s.u.) Updates für Flash verteilt. Das Flash-Plugin im Chrome-Browser zeigt unter Windows 10 Version 21.0.0.240 und damit eine höhere Versionsnummer als die Adobe-Webseite. Möglicherweise sind Windows-Nutzer also bereits teilweise geschützt.

Flash bleibt eine Einladung für Kriminelle

Es ist die jüngste (und sicher nicht die letzte) in einer langen Reihe von Lücken im Flash Player. Der IT-Sicherheitsexperte Brian Krebs schreibt deshalb: "Es ist vermutlich am klügsten, Flash zu deaktivieren oder gleich ganz zu deinstallieren." Das würde die Sicherheit "signifikant verbessern". Er hat im vergangenen Jahr ausprobiert, wie es sich komplett ohne Flash lebt - und festgestellt, dass er die Software im Alltag nicht vermisst. Einen ähnlichen Selbstversuch gibt es auf dem Blog Basic Thinking auf Deutsch.

Im Falle der aktuellen Lücke bleibt Nutzern wenig anderes übrig, als den Flash Player zumindest temporär zu deaktivieren, wenn sie sich nicht angreifbar machen wollen. Für Chrome, Internet Explorer, Firefox und Safari halten die Hersteller jeweils entsprechende Anleitungen parat. Die Flash-Plugins der Browser aktualisieren sich von selbst.

Auch unter Windows, OSX und Linux spielt Adobe in regelmäßigen Abständen selbstständig Updates für den Flash Player ein. Im Falle kritischer Sicherheitslücken empfiehlt es sich aber, manuell zu aktualisieren, sobald das Update zur Verfügung steht. Die neue Flash-Software kann dann - von Donnerstag an - direkt von der Adobe-Seite heruntergeladen werden. Ihre aktuelle Flash-Version können Sie hier überprüfen.

Auch Microsoft schließt kritische Lücken in Windows

Im Rahmen seines monatlichen "Patch Tuesday" hat auch Microsoft viele kritische Schwachstellen gefixt. Eine von ihnen (CVE-2016-0189) wurde offenbar schon aktiv ausgenutzt. Allerdings schreibt die Sicherheitsfirma Symantec, dass lediglich südkoreanische Webseiten betroffen seien. Panik ist also nicht angebracht, die Angreifer hatten es wohl eher nicht auf deutschsprachige Nutzer abgesehen.

Im Unterschied zur Lücke im Flash Player reicht es für Windows-Nutzer, Microsofts Sicherheitsupdates einzuspielen. Normalerweise aktualisiert sich Windows von selbst und fordert zum Neustart auf, um die Installation abzuschließen. Wer die Updates von Microsoft bewusst deaktiviert hat, sollte Windows Update aufrufen und die Aktualisierungen selbst einspielen.