Categories: BrowserWorkspace

Google Chrome: versteckte Flash-Inhalte werden ab September nicht mehr abgespielt

Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden, wie Google jetzt in einem Blogeintrag angekündigt hat. Damit steht nun auch offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Google setzt damit im September um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bei Firefox und Chrome können Nutzer bereits jetzt Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Laut Mozilla soll diese als „Click-to-play“ bezeichnete Funktion bei Firefox dann 2017 „für jedwede Art von Inhalten“ erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Ab Dezember soll die Funktion bei Chrome mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Heute werden rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt, so Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden.

Mit Chrome 42 wurde bereits im September vergangenen Jahres die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als „kritisch“ eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Angreifern. Alternativen sind nicht zuletzt deshalb stark auf dem Vormarsch. Viel besuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den Flash-Inhalten, die nicht sichtbar sind, handelt es sich vor allem um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies macht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun möglich und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten zählen auch die sogenannte „Supercookies“, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String „Cookie“ enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield).

[Mit Material von Peter Marwan, silicon.de]

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

PC-Verkäufe steigen an

Im zweiten Quartal ist die Zahl der verkauften Rechner laut den Marktforschern von Gartner weltweit…

3 Stunden ago

Zoom patcht Zero-Day-Schwachstelle

Die Videokonferenz-Software Zoom arbeitet an einem Patch einer Zero-Day-Schwachstelle, die gestern in einem Blog-Beitrag des…

6 Stunden ago

Palo Alto Networks: PAN-OS 10.0 Next-Generation Firewall mit Maschinenlernen

Palo Alto Networks führt die laut eigenen Angaben weltweit erste Next-Generation Firewall (NGFW) ein, die…

9 Stunden ago

Evilnum greift Fintechs an

Die Hackergruppe Evilnum hat sich auf Advanced Persistent Threats (APT) spezialisiert und attackiert derzeit vor…

23 Stunden ago

Microsoft warnt von Consent Phishing

Consent Phishing ist ein Bedrohungsvektor, mit dem anwendungsbasierte Angriffe auf wertvollen Daten abzielen können. Microsoft-Experten…

1 Tag ago

Intel Thunderbolt 4: Universelle Kabelverbindung macht Ladekabel überflüssig

Intel erhöht die Anforderungen an Thunderbolt 4, unterstützt dafür jetzt aber 32 Gbit/s über PCIe,…

1 Tag ago