Aktuelles, Branche, Produkte - geschrieben von dp am Mittwoch, August 10, 2016 23:55 - noch keine Kommentare
Flash Player: Einst nützliches Tool zunehmend Einfallstor für Cyber-Kriminelle
Tenable Network Security warnt und empfiehlt Ersatz
[datensicherheit.de, 10.08.2016] Der „Adobe Flash Player“ weist zunehmend Schwachstellen und Sicherheitslücken auf. Das einst nützliche Tool werde zunehmend zum „Einfallstor für Cyber-Kriminelle“, warnt daher Tenable Network Security in einem Kommentar. Es werde Zeit, „Abschied vom Flash Player zu nehmen“.
Patches oft nicht schnell genug verfügbar
Die Zahlen seien eindeutig: Von den zehn Schwachstellen, die „Exploit Kits“ 2015 ausgenutzt hätten, seien acht „Flash Player“-Schwachstellen gewesen. In „unschöner Regelmäßigkeit“ würden Lücken aufgedeckt und Nutzer aufgefordert, dringende Sicherheitsupdates zu installieren. Steve Jobs habe gute Gründe gehabt, „Flash“ im Jahr 2010 von Apple-Produkten und -Software zu verbannen.
Zum einen sei „Flash“ beständig ein bevorzugter Angriffsvektor für die Programmierer von „Expoit Kits“ und Malware. Anbieter wie Adobe gerieten ins Hintertreffen, weil Schwachstellen heutzutage schnell verbreitet und ausgenutzt würden. Oft seien Patches zur Behebung von Schwachstellen nicht schnell genug verfügbar oder IT-Mitarbeiter bräuchten zu viel Zeit, um die Schwachstelle zu identifizieren und zu beheben. Im Ergebnis bekämen Angreifer „einfacher ihren Fuß in die Tür der Netzwerke“. Hinzu komme, dass Mitarbeiter immer häufiger ihre Geräte zu Hause einsetzten – außerhalb des schützenden Unternehmensnetzwerks. Dies sei problematisch, weil die IT keine Möglichkeit habe, einen durch Schwachstellen verwundbaren Laptop zu erkennen oder schnell genug Updates umzusetzen, um die Bedrohung zu beseitigen.
Zum anderen sei der „Flash Player“ sehr oft unnötig, denn HTML5 und offene Lösungen ersetzten ihn auf immer mehr Plattformen. Manche Browser sperrten das Plugin ganz und spielten zum Beispiel YouTube direkt über HTML5 ab. Der Nutzer bemerke davon nichts.
2 mögliche Schritte
Es sei an der Zeit, „Flash zu Grabe zu tragen“. Zwei Schritte seien jetzt möglich und notwendig.
- Den „Flash Player“ deinstallieren (es sei denn er ist nötig):
Eine brauchbare Lösung für das „Flash“-Problem sei die Deinstallation. Allerdings setzten viele Nutzer „Flash“ noch immer in ihrem Alltag ein, weil geschäftskritische Systeme darauf aufbauten oder einfach, weil sie Browserspiele nutzen wollten. Eine Alternative sei es, „Flash“ standardmäßig zu deaktivieren und eine „Click-to-Play“-Option einzufügen. Leider könnten Nutzer leicht dazu verführt werden, „Flash“ zu aktivieren. - Systeme mit „Flash Player“ besser kontrollieren:
Wenn sich der „Flash Player“ nicht „verhindern“ lasse, müssten Unternehmen Anzeichen einer Kompromittierung besser erfassen, also unerwartete Autoruns, als Schadware bekannte Codes, Verbindungen zu Control-Servern etc. aufstöbern. Werde ein solches kontinuierliches Schwachstellen-Scanning mit klassischen Kontrollen kombiniert, sinke die Gefahr von Schwachstellen auf Nutzerseite und damit die Zahl der Einfallstore ins Netzwerk.
Leicht zu ersetzende Sicherheitsbedrohung
Der „Flash Player“, so das Fazit des Kommentars, habe seine Daseinsberechtigung gehabt. Inzwischen sei er aber zu einer „leicht zu ersetzenden Sicherheitsbedrohung geworden“.
Aktuelles, Experten - Feb. 8, 2025 0:13 - noch keine Kommentare
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
weitere Beiträge in Experten
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
Aktuelles, Branche - Feb. 8, 2025 0:26 - noch keine Kommentare
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
weitere Beiträge in Branche
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren