Angesichts der schier nicht enden wollenden Reihe an kritischen Sicherheitslücken im Flash Player scheint das sprichwörtliche Fass endgültig am Überlaufen zu sein. So fordert Facebook-Sicherheitschef Alex Stamos von Softwarehersteller Adobe nun via Twitter ein offizielles Ablaufdatum für das weit verbreitete Browser-Plug-in.

Vorgabe

Selbst wenn dieser Stichtag erst in 18 Monaten sein sollte, eine klare Vorgabe scheint derzeit der einzige Weg zu sein, das Web von der Nutzung der veralteten – und zur Gefahr gewordenen – Technologie wegzubewegen. Zu verschachtelt seien bisher die Abhängigkeiten, bei denen sich ein Mitspieler immer auf einen anderen ausreden kann, um schlussendlich nichts zu tun.

Dass die Umstellung nicht von einem Tag auf den anderen gehen wird, ist wohl auch Stamos selbst schmerzlich bewusst. Immerhin verwendet Facebook selbst noch an einigen Stellen Flash – etwa zur Videowiedergabe auf Desktop-Rechnern. Zudem setzen weiterhin viele Video-Streaming-Anbieter auf Flash. Dass es auch anders geht, zeigt Netflix, das sein Service mittlerweile auf HTML5-Basis ausliefert, also ohne Plug-ins auskommt. Zuvor hatte Netflix jahrelang Microsofts Flash-Konkurrenten Silverlight genutzt.

Statistik

In Summe ist die Flash-Nutzung noch weiter verbreitet als man glauben möchte: Laut HTTP Archive setzen derzeit 23 Prozent der 483.000 von der Seite getrackten Webpages noch immer Flash ein. Dies ist zwar deutlich weniger als vor drei Jahren – da waren es noch 39 Prozent –, aber doch zu viel, um Flash einfach so abdrehen zu können, ohne einen bedeutenden Teil des Webs unzugänglich zu machen.

Reaktionen

Genau diese Realität hat dazu geführt, dass Browserhersteller wie Microsoft oder Google ihre eigene Flash-Version mitliefern, die gegenüber dem normalen Plug-in zumindest besser isoliert – und somit schwerer angreifbar – ist. Bei den aktuellen Angriffen hat dies allerdings wenig genutzt, all diese sind auch gegen die Plug-ins bei Chrome und Internet Explorer erfolgreich. Zudem führt die fixe Auslieferung von Flash wiederum dazu, dass die Seitenhersteller sich erst recht wieder darauf verlassen können, dass das Plug-in universell vorhanden ist – und so keinen Anreiz haben, irgendetwas zu ändern.

Offen Fragen

Den entscheidenden Impuls soll nun also eine klar kommunizierte Deadline liefern, nach deren Ablauf die Browserhersteller den Flash-Support verbindlich abdrehen. Ob sich auch tatsächlich alle auf solch einen Termin festlegen wollen, muss sich freilich erst zeigen.

Mozilla

Zumindest eines der betroffenen Unternehmen scheint zum umgehenden Handeln bereit: Firefox-Hersteller Mozilla zieht angesichts der aktuellen Bedrohung nun die Notbremse und deaktiviert das Flash-Plug-in vollständig. Dabei handelt es sich allerdings – zunächst wie Firefox-Support-Chef Mark Schmidt betont – nur um eine temporäre Maßnahme. Nach der Veröffentlichung eines Updates soll das Flash-Plug-in also wieder aktiviert werden. Dieses hat Adobe mittlerweile geliefert, insofern ist davon auszugehen, dass Mozilla die Maßnahme bald wieder revidiert.

Im Gefolge des Hacks des italienischen Malware-Herstellers Hacking Team sind mittlerweile drei kritische Zero-Day-Lücken im Flash Player bekannt geworden, die aktiv von Kriminellen zum Sperren von Rechnern und nachfolgenden Erpressungsversuchen genutzt werden. Die aktuellen Vorfälle sind allerdings nur ein weiterer Höhepunkt in einer langen Geschichte an Sicherheitslücken bei Flash.

Universell

Dieses ist für Angreifer auch deswegen ein ziemlich lohnendes Ziel, weil es praktisch auf allen Rechnern verfügbar ist – und zwar unabhängig von Browser und Betriebssystem. Damit ergibt sich ein zentraler Angriffspunkt.

Geschichte

Es ist übrigens nicht der erste Versuch, Flash loszuwerden: Bereits im Jahr 2010 hatte Apple-Gründer Steve Jobs einen vielbeachteten Brief verfasst, in dem er sich gegen die Nutzung von Flash stellte, und ankündigte, dass man die Technologie auf iPhone und iPad nicht unterstützen werde. Einer der zentralen Gründe für diese Entscheidung: Eine Fülle von kritischen Sicherheitslücken, die das Jahr 2009 prägten. Sechs Jahre später gibt es Flash noch immer – und die Sicherheitslage hat sich alles andere als gebessert. (apo, 14.7.2015)