Am 7. Juni hat Adobe eine kritische Sicherheitslücke in Flash Player geschlossen (
Nachrichten ,
Unternehmenspost ). Die Sicherheitsanfälligkeit CVE-2018-5002 wurde sofort von mehreren Forschungsteams aus China entdeckt. Wir sprechen von der Remote-Ausführung von beliebigem Code infolge eines Pufferüberlauffehlers. Dies ist eine Zero-Day-Sicherheitslücke: Zum Zeitpunkt der Entdeckung wurde sie bereits bei gezielten Angriffen im Nahen Osten eingesetzt. Dieses ziemlich ernste Problem wird einfach aufgrund des Namens des betroffenen Produkts als Routinemeldung wahrgenommen: Nun, wer kann blitzschnell von RCE überrascht werden?
Allein in diesem Jahr ist dies die zweite kritische Zero-Day-Sicherheitslücke, die erste wurde im Februar dringend
geschlossen . Adobe Flash ist im Allgemeinen ein beispielhaftes Beispiel für unsichere Software geworden. Es gehört durchweg zu den am häufigsten angegriffenen Anwendungen und verlässt diese Bewertung seit Jahren nicht mehr. Es ist unter Anwendern trotz langjähriger Versuche, es durch objektiv effizientere Technologien zu ersetzen, immer noch üblich. Unabhängig von der Technologie ist Flash ein wesentlicher Bestandteil der Geschichte des Internets geworden. Lassen Sie uns anhand einiger Links und eines einzelnen Diagramms versuchen, Flash nicht nur unter Sicherheitsgesichtspunkten zu betrachten.
Von einer glorreichen Vergangenheit zu einer traurigen GegenwartDie frühe Geschichte des Vorfahren von Adobe Flash, der SmartSketch-Zeichensoftware, ist ein nützlicher Fall, um angesichts fehlender Informationen auf die Entwicklung vielversprechender Technologien zu setzen. Stellen Sie sich vor, Sie wären im Jahr 1992-1993. Es gibt immer noch kein Web als solches, das Internet ist ein Spielzeug für Wissenschaftler und ein geschlossener Club für Liebhaber der Kommunikation in Post und
Nachrichten . Gleichzeitig werden vielversprechende Technologien beschrieben: Es gibt Standards für Multimedia-PCs, für tragbare Geräte gibt es erste Tablet-Konzepte. Es ist nicht klar, dass sich dies entwickeln und Geld bringen wird, und vor allem, in welcher Reihenfolge all diese Technologien schießen werden. SmartSketch-Entwickler haben zuerst die falsche Wette auf eines der ersten Betriebssysteme für tragbare Computer mit Touchscreen (
PenPoint ) abgeschlossen.
Das System wurde der kommerziellen Version nicht gerecht, und SmartSketch musste schnell auf Mac OS und Windows portiert werden, wo es viele Zeichenprogramme gab. Und die zweite strategische Entscheidung, das Projekt für die Erstellung von Animationen zu verwenden und sogar die Möglichkeit der Veröffentlichung im Internet sicherzustellen, erwies sich als richtig. 1996 wurde ein Produkt mit dem Namen FutureSplash Animator veröffentlicht. Etwa zur gleichen Zeit erkannte Microsoft, dass die Zukunft im Internet liegt, begann, relevante Projekte mit Budgets für Marketing und Entwicklung aufzupumpen und etwas zu schaffen, das erst in 10 bis 15 Jahren wirklich nutzbar werden würde - alle Arten von Webfernsehen und andere interaktive Dinge. Interaktiv - dazu gehört auch die Animation, und hier werden die Ersteller der Software abgebildet und überflutet.
Im selben Jahr 1996 wurde das Projekt von Macromedia übernommen (und in Flash umbenannt). Zu Beginn des neuen Jahrtausends ist das kostenlose clientseitige Plug-In die häufigste Browsererweiterung. Im Jahr 2005 wurde Macromedia an Adobe verkauft, und selbst dann war es nicht nur Software zum Erstellen komplexer Webobjekte, sondern auch eine Softwareentwicklungsplattform, bei der Flash Player nur eine Übermittlungsmethode wurde. Irgendwo damals konnte man einen Blick auf eine glänzende Zukunft werfen, in der Computerhersteller, Entwickler von Betriebssystemen und sogar Browser die Rolle von Kabelfernsehbetreibern spielen, die für das Verlegen von Kabeln verantwortlich sind. Echte Omas verdienen gleichzeitig mit Inhalten, die über die Flash-Plattform erstellt und bereitgestellt werden und die vollständig von Adobe gesteuert werden. Großartig, richtig?
Vielleicht wäre alles so, wenn es nicht die Entwicklung mobiler Geräte gäbe, bei denen es ein anderes Interaktionsszenario (Stift und Finger anstelle einer Maus) und viel schwächere Hardware als bei herkömmlichen PCs gäbe. Flash war beispielsweise in Windows Mobile vorhanden, aber die Erfahrung war mittelmäßig. 2007 veröffentlichte Apple das erste iPhone, ein Smartphone, bei dem das Anzeigen des gesamten Webs mehr oder weniger bequem geworden ist. Das Fehlen von Flash wurde oft als einer der schwerwiegenden Mängel des Geräts dargestellt: Ohne Flash war es am Ende der Null unmöglich, Video und Audio von vielen Ressourcen zu streamen, einige Geschäftsanwendungen zu verwenden und natürlich eine
lustige Farm zu spielen. Im Jahr 2010, unmittelbar nach der Veröffentlichung des iPad, das
ebenfalls kein Flash hatte , schrieb Steve Jobs
einen offenen Brief, in dem er erklärte, warum Flash niemals auf Apples Mobilgeräten erscheinen wird.
Ich werde die Hauptargumente von Jobs gegen Flash kurz auflisten. Geschlossener Standard (Jobs gibt an, dass Apple auch viele
proprietäre Standards hat, aber Webstandards müssen offen sein). Die von Apple entwickelte und überall verwendete WebKit-Engine wird als Gegenbeispiel angeführt (Nokia-Smartphones werden im Brief erwähnt, und dann war sie immer noch relevant!).
Ressourcen und Batterie: Ein Beispiel ist die ineffiziente Implementierung des H.264-Codecs in Flash, bei der die Hardware-Videodecodierung nicht vollständig genutzt werden kann. Daher die erhöhte Belastung des Prozessors und eine halbe Stunde Akkulaufzeit. Schärfen der Maussteuerung und Unfähigkeit, normal mit den Fingern zu arbeiten. Die mangelnde Motivation von Adobe, Flash-Apps für iPhone und iPad zu optimieren. Schließlich wurden sowohl Sicherheit als auch Zuverlässigkeit erwähnt („der Grund für den Sturz der Macintosh-Computer Nummer eins“).
Oh, was hat hier angefangen? Der Adobe-Regisseur
antwortete natürlich: "Mohnblumen" fallen angeblich, weil die Achse eine Kurve ist. Über den Batterieverbrauch - alles ist eine Lüge. Und natürlich „wir sind für Multi-Plattform“. Es scheint, dass der Traum, dass das Programm einmal geschrieben wird und dann auf irgendetwas funktioniert - sogar auf einem PC, sogar auf einer Kaffeemaschine - nie verwirklicht wurde. Die Probleme der effizienten Codierung werden irgendwie gelöst, einfach ohne Adobe und die Flash-Plattform.
Es war ein relativ einfaches und praktisches Werkzeug für eine relativ lange Zeit mit einem funktionierenden Bereitstellungsmechanismus für ein großes Publikum. Und dann war es kein solches Tool mehr: 25. Juli 2017 Adobe
kündigt das Auslaufen der Flash-Entwicklung und -Support an. Der Grund ist die universelle Anwendung derselben offenen Webstandards. Seitdem begann die Geschichte von Flash als Zombie-Plattform AKA-Zeitbombenminen auf den Computern von Millionen von Benutzern.
Wie schlimm ist esDie Frage sollte in zwei Teile geteilt werden: Wie schlecht ist alles persönlich bei Ihnen und wie schlecht ist alles mit Adobe Flash im Prinzip aus Sicherheitsgründen? Die erste Frage lässt sich leicht selbst beantworten: Rufen Sie die Adobe-Site-
Seite mit dem Widget auf, um die Version von Flash Player zu überprüfen. In meinem Fall hat der Chrome-Browser zuerst um Erlaubnis zum Ausführen von Flash gebeten und dann gezeigt, dass ich die neueste Version mit einem gepatchten Zirodei vom 7. Juni habe. Alles scheint in Ordnung zu sein: Der Browserhersteller (Chrome) unterstützt automatisch die Relevanz des Flash-Plugins. Auf der anderen Seite ist es durchaus möglich, diese Funktionalität vollständig auszuschalten: Für einen normalen Benutzer führt ein Angebot zum Starten von Flash beim Laden einer Seite nicht zu besonderen Fragen. Und es gibt viele Situationen, in denen sogar die neueste Version des Plugins kritisch anfällig ist.
Wie schlecht ist Flash Player im Allgemeinen? Die CVE-Schwachstellendatenbank bietet einen Überblick. Für Flash Player gab es zum Zeitpunkt der Veröffentlichung Informationen zu 1047 Sicherheitslücken seit 2005. Die größte Anzahl von Sicherheitslücken wurde der Datenbank in den Jahren 2015 und 2016 hinzugefügt, als Adobe eine radikale Erhöhung der Plattformsicherheit
ankündigte . Das Programm Adobe Reader, das auch häufig für Cyber-Angriffe verwendet wird, weist 368 Sicherheitslücken in derselben CVE-Datenbank auf - fast dreimal weniger. 86% der Schwachstellen des Flash Players in der CVE-Datenbank werden als Sicherheitsstufen 9-10 klassifiziert, d. H. Es handelt sich um kritische Schwachstellen. 79% werden direkt als Ursache für die Ausführung von beliebigem Code gekennzeichnet.
Preis für unsichere SoftwareIch kann nicht sagen, dass ich Steve Jobs 'Brief über Flash zustimme. Vergessen Sie nicht, dass es im Jahr 2010 geschrieben wurde, als es schwierig war, ein Video auf YouTube in HTML5 anzusehen, ohne mit einem Tamburin zu tanzen (Flash wurde dort im Allgemeinen erst 2015 ausgeschaltet). Der Verlust von Flash ist eine Geschäftsgeschichte über eine Technologie, die lange bevor sie fast die am häufigsten angegriffene Software wurde, an Boden verlor.
Und stellen Sie sich anstelle von Adobe vor: Über 13 Jahre hat die Technologie dem Unternehmen viel Geld gebracht. Aus einer Reihe von Gründen ist die Technologie Zeit zum Ausruhen, aber für weitere drei Jahre wird sie Einnahmen generieren - aufgrund des Wunsches der Branche, Kompatibilität sicherzustellen. Die Entwicklung wird eingestellt, die Investition ist Null, es gibt Einkommen, Schönheit! Aber nein, einige (seit langem angenommene) technische Lösungen oder nur eine Sicherheitsaufsicht zwingen mich dazu, beträchtliches Geld und Ressourcen dafür aufzuwenden, ein Produkt, das es nicht mehr verdient, in minimal anständiger Form zu warten. Aber es ist notwendig: sonst Reputationsschäden und sogar Rechtskosten.
Es wäre interessant, jemandes Erinnerungen mit Analyse zu lesen: Wie ist es passiert? Es ist auch ratsam, Tipps zu geben, wie dies in Zukunft vermieden werden kann. Bisher können wir nur schlussfolgern, dass fast vor Beginn der Produktentwicklung in Sicherheit investiert werden muss. Sie können natürlich denken, dass einige andere Leute bereits die ursprünglich eingerichteten Pfosten harken werden, nachdem Gewinn und Boni eingegangen sind. Dies ist jedoch kein ernsthafter Ansatz. Wie verantwortungsbewusst gehen wir in unserer Zeit mit der Entwicklung systembildender Software um? In 10-15 Jahren herausfinden?
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.