kontext
Goto Top

Flash-Player deaktivieren! Schon wieder Angriffe auf ungepatchte Lücke

Guten Morgen Community,

Täglich Grüßt eine Flash-Lücke.
Eine Woche nachdem die kritische Lücke gestopft wurde, ist schon wieder eine kritische Flash-Lücke aufgetaucht.

Da die Schwachstelle bereits ausgenutzt wird, sollte Flash umgehend abgeschaltet werden

Wenn es so weiter geht bewegt sich FlashPlayer auf einer Ebene mit Java.
Diese müssen in der letzten Zeit nicht so viele akute Updates bringen ...
... aber ehrlich gesagt wäre ich froh und dankbar endlich auf beide verzichten zu können face-smile

In diesem Sinne - frohes patchen und deaktivieren.
Keep calm and keep going on patching. face-big-smile

Gruß
@kontext

http://www.heise.de/newsticker/meldung/Flash-Player-deaktivieren-Schon- ...

Content-Key: 262083

Url: https://administrator.de/contentid/262083

Ausgedruckt am: 03.10.2022 um 00:10 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.02.2015 um 08:41:47 Uhr
Goto Top
Zitat von @kontext:

Wenn es so weiter geht bewegt sich FlashPlayer auf einer Ebene mit Java.

flash, java, wo ist da der Unetrschied (bugtechnsich gesehen). face-smile

Adobe und Orackle nehmen sich da nichts.

Das Zeug sollte wirklich nur dann auf den Rechner draufdürfen, wenn es absolut unvermeidbar ist. Auf produktiv genutzten rechner hat das imho sowieso ncihts verloren, zumindest als Borwsererweiterung.

lks
Mitglied: kontext
kontext 03.02.2015 um 08:49:13 Uhr
Goto Top
Was ich bedenklich finde ist wie mit solchen Lücken umgegangen wird.

Wenn wir als Dienstleister oder als IT-Betreuer einen Bock schießen, haben wir ein Problem.
Und wehe dieses Problem wird nicht innerhalb einer bestimmten Frist gelöst - dann geht die Post ab.

Und die großen - lassen einfach mal eine kritische Lücke mehrere Tage / Wochen / Monate / Jahre ungepatcht.
Wie schon gesagt - bin froh wenn ich beide nicht mehr benötige ...
... früher hat man Flash und Java standardmäßig installiert
... heutzutage ist genau das Gegenteil der Fall ...

Gruß
Mitglied: ko81ro
ko81ro 03.02.2015 um 09:38:23 Uhr
Goto Top
Hallo zusammen,

wir geht ihr bei solchen Meldungen vor.

Meine Position IT-Dienstleister, unsere Kunden haben schon noch Flash im Einsatz....

Bei Fragen, oder alternative??

Eure Meinungen und Erfahrungen

VG
veneue
Mitglied: bauinformatiker
bauinformatiker 03.02.2015 um 11:21:41 Uhr
Goto Top
Selbst für IT-technisch bewandten ist das schon aufwendig, die Konfiguration immer aktuell zu halten.

Ich benutzte z.B. Firefox mit den Addons
  • Quickjava (Schalter für JS, Java Plugin, Flash, Silverlight)
  • Adblock Edge (Verhindert dass unerwünschte Inhalte von Werbenetzwerken angezeigt werden)
und
  • Ghostery bzw. als Test "Privacy Badger" um Tracker zu blocken.

Flashblock ist ja auch ganz gut, aber ich will's ja nicht übertreiben face-wink

So, was aber tun mit den knapp 100 Bürorechnern im Netzwerk? Das Javaplugin wird bereits bei der (Netzwerk-)Installation von Java deaktiviert, aber Flash auf jedem Rechner dauerhaft zu verbieten ist nicht durchsetzbar.

Wie könnte ich das temporär ein- und ausschalten?
Für das Firefox Flash-Plugin und für den IE?

Zusatzfrage:
Installiert ihr Firefox Addons über's Netzwerk, d.h. wie installiert ihr das auf einem Rechner für alle User?
Mitglied: emeriks
emeriks 03.02.2015 um 13:10:02 Uhr
Goto Top
Hi,
mal ein anderer Ansatz:

Sicherheits-Bugs sind überall drin: Windows, Linux, IOS, Android, .Net, Java, Flash, Acrobat ..... Mehr oder weniger. Mehr oder weniger kritisch.
Deswegen jetzt alles verbieten - kann man machen. Dann arbeiten wir eben wie früher.

Der korrekte Ansatz ist m.E. der Weg über die Inshaltsfilterung. Auf einem Arbeitsplatz-PC muss der Anwender auch nur auf arbeitsrelevante Inhalte zugreifen können. Interne wie externe Inhalte. Diese muss ich eben vorher testen, bewerten, freigeben. Das macht Arbeit, ja, aber ist nicht genau das der Job der IT? Dem Anwender alle IT-Fachprobleme abnehmen?

Also einen Proxy mit Content Filter vorschalten. Filter konfigurieren. Fertig.

E.
Mitglied: kontext
kontext 04.02.2015 um 07:41:40 Uhr
Goto Top
Hallo @bauinformatiker,
Hallo @ko81ro,

wie schon @emeriks geschrieben hat, muss Verbieten nicht die favorisierte Lösung sein.
Natürlich gibt es auch Verwendungszwecke bei denen man es nicht verbieten kann.

Nur muss man mittlerweile Flash und Java nicht mehr standardmäßig bzw. zwingend installieren.
Sollte der User dann Flash oder Java benötigen muss man halt abschätzen wie kritisch der Einsatz ist.
Hat der User Zugriff auf Unternehmens-kritische Daten oder ähnliches - würde ich evtl. auf eine VM umsteigen, oder ähnliches
... eine "Sandbox" für Dummies wenn wir es so nennen wollen face-wink

Ansonsten muss man auf seine UTM vertrauen und auf den Content-Filter.
Der schluckt / unterbindet die meisten Angriffsversuche - aber 100%ige Sicherheit wird es nie geben.

Zum Thema Firefox kann ich dir leider nichts dazu sagen, da dieser nicht eingesetzt wird. face-wink
Da musst du entweder einen eigenen Thread eröffnen oder die SUFU bemühen ...
... AFAIK gibt es bezgl. Firefox in Firmenumgebungen ein paar Threads

Gruß
@kontext
Mitglied: ko81ro
ko81ro 04.02.2015 um 08:06:28 Uhr
Goto Top
Guten Morgen zusammen,

vielen Dank an alle, werde es weiterhin beobachten und gespannt wie die Zukunft aussieht bei Flash face-smile?

Viele Grüße
veneuee
Mitglied: DerWoWusste
DerWoWusste 05.02.2015 um 00:34:27 Uhr
Goto Top
@bauinformatiker
Wie könnte ich das temporär ein- und ausschalten? Für das Firefox Flash-Plugin und für den IE?
Für den IE kannst Du das ab IE10@win8 per GPO machen. Für Chrome ebenso per GPO, für den Fox und für non-win8.x-IE weiß ich es nicht, aber eine Deinstallation sollte helfen face-wink
Flash ist glücklicherweise im Niedergang begriffen (und Java habe ich privat seit Jahren nicht mehr gebraucht).

Von Sicherheitslücken muss man eh immer ausgehen und unabhängig davon vorbeugen, beispielsweise mit applocker.
Mitglied: bauinformatiker
bauinformatiker 10.02.2015 um 11:06:59 Uhr
Goto Top
Auf dem Win2008R2 Server habe ich per GPO für den IE alle ActiveX-Elemente deaktiviert:
Computerkonfiguration / Richtilinien / Administrative Vorlagen / Windows-Komponenten / Internet Explorer / Sicherheitsfunktionen / Add-On-Verwaltung
-> Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind

Diese Einstellung habe ich in meinen GPO nicht gefunden:
http://www.winboard.org/artikel-ratgeber/2986-adobes-flash-player-unter ...
Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Internet Explorer / Sicherheitsfunktionen / Add -On-Verwaltung

Es gibt wohl für jedes Server-Betriebssystem und jeden Internet Explorer wieder andere ADM-Templates. Warum geht dann hier die Liste nur bis IE 8? So alt sind doch IE9 und 10 auch nicht, dachte ich...
http://www.gruppenrichtlinien.de/artikel/hersteller-adm-templates-micro ...