Adobe Flash: Der Kampf gegen die Zero-Day-Lücke

Sicherheitslücken und deren Bekämpfung gehören zum Alltag des IT-Administrators. Monatlich werden neue Patches von den Herstellern (Microsoft, Oracle, Mozilla, Google, etc.) zur Verfügung gestellt, die schnellstmöglich im Unternehmensnetzwerk verteilt werden müssen. Was aber, wenn für ein Programm oder Modul eine Schwachstelle öffentlich gemacht wird, ohne dass ein passender Patch bereit steht? Aktuell – wieder einmal – ist die Situation brisant: Ein gravierender Fehler in Adobes Flash-Modul öffnet Angreifern vollständigen Zugriff auf das gesamte PC-System. Was ist zu tun? Hier hilft nur die vollständige Deaktivierung – oder eine vorgeschaltete Warnung, genannt „Click to run“.

Das PlugIn-Problem

Flash, Java und andere Internet-Komponenten werden im Browser über sogenannte Plug-Ins dem Endanwender zur Verfügung gestellt. Der Browser lädt beim Aufruf einer Webseite, die diesen Inhalt enthält, das entsprechende Modul (Add-On) und stellt diesen im Browser dar. Aufgrund der ständigen Bedrohung durch fehlerhafte PlugIns hat Mozilla in seinem Firefox-Browser bereits Vorkehrungen getroffen. Eine Vielzahl von Medien wird nur noch nach einer zusätzlichen Bestätigung durch den Benutzer abgespielt. Eine Ausnahme stellt das Adobe Flash-Format dar. Hier wird der Aufruf des Inhalts nur (temporär) geblockt, wenn die installierte Flash-Version nicht dem aktuellen Stand entspricht. Was aber, wenn die Version aktuell ist und es dennoch eine Sicherheitslücke – einen Zero-Day-Exploit – gibt?

Die Lücke ohne Gegenwehr – Zero-Day

Zur Erklärung: Über einen Zero-Day-Exploit spricht man, wenn eine Ausnutzung einer Schwachstelle zwar bereits bekannt ist, der Hersteller aber noch keinen Patch zur Bereinigung bereitgestellt hat. Dies ist recht häufig der Fall. Alle Computer, die diese Anwendung (z.B. Adobe Flash oder auch Java Runtime) nutzen, sind Angriffen dieser Art dann schutzlos ausgeliefert. Die Folgen für Rechner im Unternehmen und die gesamte IT-Sicherheit einer Firma sind unkalkulierbar…

Abschalten oder Deinstallieren?

Was hilft in einer derartigen Ausnahmesituation? Das Modul (z.B. der Flashplayer) darf auf keinen Fall ungeprüft zum Einsatz kommen. Die einfachste Variante: die Deinstallation. Was für einen einzelnen Rechner im privaten Umfeld noch machbar ist (?), führt im Netzwerk einer Firma zu unvorhersehbaren Folgen. Produktivitätsausfall ist hier das Stichwort. Ganz zu schweigen, wie die Deinstallation und – nach der Schließung der Lücke – die neuerliche Installation in der Praxis umsetzbar ist.

Click to play – die Mitarbeiterverantwortung

Mozillas Browser, Firefox, hat schon vor einiger Zeit das „Click-to-Play“-Konzept eingeführt. Dabei wird ein Webinhalt, der nicht auf reines Html fußt, nicht automatisch eingeblendet oder abgespielt. Eine graue Fläche wird dem Endanwender auf der Website präsentiert – und erst nach einem „bewussten“ Klick wird der eigentliche Inhalt abgerufen und ausgeführt. Ein guter Ansatz, wenngleich der Klick den meisten Anwendern zu leicht von der Hand geht.

Flash Warnung

Adobe Flash und „Click to play“

Flashinhalte sind in Firefox von dieser Regelung ausgenommen (wenn der aktuellste Flashplayer installiert ist). Im Fall eines Zero-Exploits hilft nur aber nur – abgesehen von einer Deinstallation – diese Sicherheitsabfrage. Eine Kurzanleitung zur Aktivierung dieser Mindestanforderung an Sicherheit.

Firefox: Click to play für Flash

Firefox AddOnsNach dem Start von Firefox rufen Sie über die Einstellungen die AddOn-Verwaltung auf. Nun sehen Sie eine Liste aller (in Firefox) installierten Zusatzmodule. Hier sollten Sie auch einen Eintrag für die Ausführung von Adobes Flashplayer sehen (siehe Abbildung). Mit einem Klick auf dessen Optionen können Sie hier das Startverhalten von Flash-Inhalten ändern…

Vertrauen zum Anwender

Firefox PluginsDie Hoffnung, dass alle (!) Anwender diesen Hinweis befolgen, ist mit Sicherheit gering. In kritischen Situationen gilt es jedoch abzuwägen: Eine vollständige Deinstallation im gesamten Netzwerk ist nicht nur technisch eine Herausforderung. Ohne eine zentrale Verteilungslösung geht hier nichts. Ein wenig beachteter Punkt im Rahmen der meisten IT-Lösungen von Unternehmen. Aber selbst wenn diese technische Variante zur Verfügung steht, ist eine Störung des IT-Betriebs vorhersehbar.

Firefox Plugin Aktivierung

Leben mit Sicherheitslücken

Sicherheit bringt immer Unannehmlichkeiten mit sich. Die Handhabung im IT-Alltag muss jedes Unternehmen für sich entscheiden. Zero-Day-Lücken gehören zum unangenehmen Teil jeder IT-Strategie. Eine gute Firewall kann hier den entscheidenden Unterschied machen. Sich auf die Aufmerksamkeit der Mitarbeiter zu verlassen ist sicherlich kein guter Weg. Manchmal aber der einzige.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*