WCM Forum - Flash-Lücke im Internet Explorer 10

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Flash-Lücke im Internet Explorer 10 (http://www.wcm.at/forum/showthread.php?t=245040)

Flash-Lücke im Internet Explorer 10

Zitat:

Die mit Windows 8 ausgelieferte Flash-Version ist von einer Sicherheitslücke betroffen, die in Verbindung mit dem Internet Explorer 10 auftritt. Der entsprechende Patch von Adobe kann nicht auf den neuen Internet Explorer angewandt werden.

In Microsofts neuem Betriebssystem Windows 8 ist der Internet Explorer 10 gemeinsam mit dem Adobe Flash Player vorinstalliert. Bislang musste Flash immer separat installiert werden. Diese neue Politik führt dazu, dass entsprechende Sicherheitsupdates nicht mehr direkt von Adobe, sondern über Microsoft ausgeliefert werden. Die offiziellen Updates können dabei nicht angewendet werden. Auf Nachfrage von Ars Technica gab Microsoft an, dass die Lücke bekannt sei und in einem der nächsten Windows-Updates behoben werden soll.

Update-Politik mit Risiko
Dadurch wird deutlich, dass diese Update-Politik auch einiges an Risiko birgt. So liefert Microsoft seine Updates traditionell immer am zweiten Dienstag des jeweiligen Monats aus. Adobe liefert seine Updates auch immer Dienstags aus, hier kann es aber auch der dritte oder vierte im Monat sein.

Wenn Adobe also ein Flash-Update veröffentlicht, in dem immer wieder neue Sicherheitslücken aufgedeckt und gleichzeitig geschlossen werden, dauert es im schlimmsten Fall noch drei Wochen, bis Windows-Anwender den entsprechenden Patch bekommen.

Konkurrenz
Der Internet-Explorer ist nicht der einzige Browser, der Flash bereits standarmäßig integriert hat. Auch Googles Chrome setzt auf diese Strategie und auch hier kommen Sicherheitsupdates von Google anstatt von Adobe. Hier ist die hauseigene Update-Frequenz aber deutlich höher als etwa bei Microsoft. Anders macht es Firefox, hier wird auf das separat installierte Plugin zugegriffen.

Quelle: http://futurezone.at/produkte/11190-...xplorer-10.php

Nachtrag mit mehr Details:

http://www.heise.de/newsticker/meldu...e-1703223.html

Zitat:

Microsoft will Flash-Lücke im IE10 nun doch schließen

Nachdem es Kritik hagelte, will Microsoft den in seinem neuen Internet Explorer festintegrierten Flash Player nun doch vor der offiziellen Freigabe von Windows 8 aktualisieren. ZDNet berichtet, Microsoft wolle "in Kürze" einen Fix bereitstellen. Er soll eine Sicherheitslücke schließen, die Adobe in seinem eigenen Player bereits im August behoben hatte.

Ursprünglich wollte Microsoft mit dem Patch bis zum offiziellen Erscheinungstermin von Windows 8 am 26. Oktober 2012 warten, da das automatisch Update für Windows 8 noch nicht in Betrieb ist. Das Betriebssystem steht jedoch schon seit Mitte August den Abonnenten von MSDN und Technet zur Verfügung, und auch Unternehmen können eine Testversion herunterladen.

Adobes Flash Player 11.4 behob einen Fehler, der es Dateien erlaubte, durch manipulierte Fonts Software einzuschleusen. In dem mit Windows 8 ausgelieferten Internet Explorer 10 ist jedoch noch die Version 11.3 installiert.

Microsoft ist mit dem neuen IE dazu übergegangen, das Flash-Plug-in fest in den Browser zu integrieren. Theoretisch sollen Updates die Anwender dadurch schneller und zuverlässiger erreichen, da der Browser sie selbst automatisch herunterlädt und installiert. Bei Googles freiem Browser Chrome, der dasselbe Verfahren bereits seit längerem einsetzt, scheint das auch zu funktionieren: Dessen aktuelle Version 21 setzt den Flash Player 11.4 ein. (ck)

Quelle: http://www.heise.de/newsticker/meldu...n-1705228.html

Na bitte, ist ja schon was und ganz schön flott. :look: