Am Puls von Microsoft

Microsofts unverantwortlicher Umgang mit Flash-Lücke in Windows 8 (und so schützt man sich)

Man stelle sich vor, ein Automobilhersteller hat ein neues Fahrzeug entwickelt. Die Serienproduktion ist bereits angelaufen, und ein paar ausgewählte Kunden und Testfahrer sind auch schon auf öffentlichen Straßen damit unterwegs.
Da meldet sich ein Zulieferer und meldet einen Fehler in einem sicherheitsrelevanten Bauteil. Ein überarbeitetes Teil, mit dem das Problem nicht mehr auftritt, wird ebenfalls gleich mit angeboten. Der Automobilhersteller sagt: Vielen Dank, wir bauen das dann später irgendwann mal ein…

Ohne es mit der Polemik an dieser Stelle übertreiben zu wollen – etwas Derartiges spielt sich gerade bei Windows 8 ab. Denn ein sicherheitsrelevantes Update für den Adobe Flash Player will Microsoft erst Ende Oktober für Windows 8 ausliefern.

Der Reihe nach:
Der Internet Explorer 10 in Windows 8 hat den Flash Player bereits integiert – Updates werden also nicht mehr vom Anwender selbst installiert, sondern per Windows Update ausgeliefert. Das ist grundsätzlich eine gute Sache, sofern Sicherheitsupdates zeitnah integriert werden. Google verfolgt dieses Prinzip mit dem Chrome-Browser ja schon lange.

Im August hat Adobe gleich zwei Security-Bulletins für den Flash Player veröffentlicht und Sicherheitslücken behoben, über die Hacker im schlimmsten Fall ein System komplett übernehmen können. Eines der Updates wurde als besonders kritisch eingestuft und eine Aktualisierung binnen 72 Stunden empfohlen.
Doch Microsoft erklärte, man werde ein entsprechendes Sicherheitsupdate für Windows 8 “um den Termin der Markteinführung herum” ausliefern.

Nicht weiter schlimm, könnte man im ersten Moment meinen. So lange Windows 8 noch nicht im Handel ist, droht ja keine akute Gefahr. Nichtsdestotrotz gibt es schon jetzt viele tausend produktiv genutzte Installationen – denn über verschiedene Kanäle ist Windows 8 ja bereits erhältlich: Über MSDN bzw. TechNet können Abonnenten die finale Version bereits beziehen, auch über das Dreamspark-Programm können Studenten schon Windows 8 erhalten – und last not least können Volumenlizenz-Kunden ebenfalls auf das neueste Windows zugreifen.

Alle diese Nutzer bleiben also bis Ende Oktober ungeschützt – und mit ihnen gefährdet sind z.B. auch alle Computer, die sich mit ihnen im selben Netz befinden. Auch hier passt der Vergleich mit dem Straßenverkehr: Wenn ein Auto mit defekten Bremsen unterwegs ist, dann ist das nicht nur für dessen Fahrer gefährlich.

Es ist absolut unverständlich, warum sich Microsoft hier so viel Zeit nehmen will. Ein zügig ausgeliefertes Update würde zum Beispiel auch den PC-Herstellern noch die Möglichkeit geben, dieses zu integrieren. So aber muss man davon ausgehen, dass die am 26. Oktober in den Läden stehenden Windows 8 PCs inklusive Flash-Sicherheitslücke ausgeliefert werden und dringend gepatcht werden müssen, bevor man damit sicher ins Internet gehen kann.

Die sicherste Empfehlung unter Windows 8 ist für den Moment, den Internet Explorer 10 in der Desktop Version überhaupt nicht zu verwenden (Die Metro-Variante erlaubt nur bestimmten Seiten die Ausführung von Flash-Inhalten, hier ist die Gefahr deutlich geringer).

Wer das nicht kann oder will, der kann den Internet Explorer 10 wie folgt absichern:

Zunächst die Verwaltung der AddOns aufrufen:

Nun zunächst links unten die Option “Alle Add-Ons” auswählen, dann in der Mitte unter “Microsoft Windows 3rd party Component” nach “Shockwave Flash Object” suchen und dieses durch einen Klick rechts unten deaktivieren:

Als nächstes wird der ActiveX-Filter eingeschaltet:

Sobald nun eine Seite aufgerufen wird, die Flash oder eine andere ActiveX-Funktion verwendet, erscheint in der URL-Leiste das Symbol, welches auf den aktivierten AcitveX-Filter hinweist. Durch einen Klick darauf kann man bei Bedarf den Filter für diese Domain abschalten – das gilt dann allerdings dauerhaft.

(Danke für den Tipp an Ed Bott)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 16 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige