Adieu, wandelnde Sicherheitslücke Flash-Player

Lange hat man sich mit seinen Schwächen herumgeplagt, nun sind die letzten Tage gezählt: die wandelnde Sicherheitslücke Adobe-Flash-Player verabschiedet sich zum Ende des Jahres endgültig von der großen Bühne. Ein Abgesang von Sophos.

Mit einigen Schwierigkeiten der Cybersecurity lernt man zu leben. IT-Sicherheitsunternehmen beschreiben seit Jahren immer wieder die Tücken und Kuriositäten der (zumeist) üblichen Verdächtigen. Mal mit Kopfschütteln, mal verärgert und mal mit etwas Fatalismus geht es dabei zum Beispiel um die Tatsache, dass Windows immer noch keine Dateierweiterungen standardmäßig anzeigt, dass IoT-Geräte mit elementaren Sicherheitsfehlern verbreitet werden oder dass Apple sich so lange hartnäckig weigert, Sicherheitskorrekturen zu melden, bis sie dann aufgedeckt werden. Und ein ganz spezieller Security-Patient war stets Flash. Bis jetzt.

Denn für Adobes Technologie für interaktive Grafiken fällt nach einer dreijährigen Abschiedstournee am Ende des Jahres wohl tatsächlich der letzte Vorhang, zumindest auf der Windows-Bühne.

Bereits 2010 verbannte Apple-Flash aus seinem iOS-Ökosystem: kein Zutritt für Flash und Applikationen damit.  2011 kündigte Adobe dann selbst an, dass es die Flash-Technologie für mobile Geräte aufgeben werde. Wahrscheinlich mehr aufgrund des Drucks von Anwendern als aufgrund eines brennenden Wunsches, Flash am Leben zu erhalten, stellte das Unternehmen jedoch noch einige Jahre lang Updates und Sicherheitspatches für Desktop-Computer zur Verfügung. Im Juli 2017 gab man dann schließlich bekannt, Aktualisierung und Verbreitung des Flash Players Ende 2020 einstellen zu wollen. Entwicklern empfahl man, Flash-Content rechtzeitig auf andere Formate zu migrieren.

 

Cyberkriminelle lieben Flash

Einst war Flash ein beliebtes Werkzeug zum Schreiben von Online-Spielen und zur Veröffentlichung browserbasierter Software, die mehr wie eine native App funktionierte, als es mit den damaligen HTML-Funktionen möglich war.

Die Tatsache jedoch, dass Flash direkt im Browser ausgeführt wurde und ein komplexes, leistungsstarkes Plugin erforderlich war, um ausgefallene, proprietäre Browsererweiterungen zu implementieren, führte dazu, dass es regelmäßig sicherheitsrelevante Fehler im Gepäck hatte – zusätzlich zu allen in Browser oder Betriebssystem vorhandenen Bugs.

Cyberkriminelle konnten die unfreiwillig mitgelieferten „Optionen“ für sich nutzen. Sie missbrauchten Flash-Sicherheitslücken nicht nur, um Nutzer mit gefälschten oder irreführenden Inhalten zu belästigen, sondern auch, um Browser-Beschränkungen zu umgehen, Einstellungen auszuspionieren, Dateien auf der Festplatte zu lesen oder schließlich Computer mit Malware zu infizieren. Schlimmer noch, Flash-Bugs schienen sehr häufig als Zero-Days aufzutauchen, also Sicherheitslücken, die von Angreifern angegriffen werden, bevor ein Patch verfügbar ist. Selbst die diszipliniertesten und schnellsten Systemadministratoren hatten hier kaum die Chance auf einen rettenden Vorsprung. Flash war und ist ein Liebling der Cyberkriminellen.

 

Ist das Ende nun wirklich nah?

Ist am 31. Dezember 2020 wirklich Schluss? Verschwindet der Flash-Player tatsächlich von der Bühne? Obwohl es bereits so viele Zugaben gab, wenn man bedenkt, dass Flash schon seit dem Erscheinen von HTML5 im Jahr 2014 in den Browsern redundant ist? Es sieht ganz so aus. Das Update KB4577586 mit dem Titel „Update zum Entfernen von Adobe Flash Player: 27. Oktober 2020“ jedenfalls klingt ernst: „Entfernt Adobe Flash Player von Ihrem Windows-Gerät“. Und: „Nachdem dieses Update angewendet wurde“, heißt es im KB-Artikel weiter, „kann dieses Update nicht deinstalliert werden.“

Die einzige Möglichkeit, Flash wiederherzustellen, besteht darin, auf einen früheren Wiederherstellungspunkt zurückzusetzen oder Windows von Grund auf neu zu installieren. Es scheint wirklich der letzte Vorhang zu sein für den Flash-Player. Zumindest unter Windows.

#Sophos