verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4016
|
Hallo, das ist ein reiner Informationsbeitrag, kann aber auch gerne diskutiert werden. Der Flashplayer ist unter Windows, Linux und MacOS angreifbar und sollte mindestens deaktiviert werden. Die Wahrscheinlichkeit, dass noch andere Sicherheitslücken enthalten sind, die von anderen Sicherheitsunternehmen oder "Hackern" aktiv ausgenutzt werden, erscheint mir doch sehr hoch, drum empfehle ich, den Flashplayer komplett zu deinstallieren. Eventuell muss Adobe sogar aufgrund von geheimdienstlichem Druck Backdoors einbauen, die prozentuale Verbreitung und der Umstand, dass der Flash Player plattformübergreifend ist, machen den zum idealen Einfallstor. Vorgeschichte: Denn die erbeuteten Dokumente haben unter anderem zutage gefördert, dass die Spionage-Tools der Firma eine bislang unentdeckte Flash-Lücke (CVE-2015-5119) ausnutzen. Hacking Team prahlt in den geleakten Dokumenten und bezeichnet die Schwachstelle als "The most beautiful Flash bug for the last four years".
http://www.heise.de/security/meldung/Hacking-Team-Adobe-veroeffentlicht-Notfall-Update-fuer-Flash-Player-2743331.html Ok, die Lücke ist aktuell gefixt, aber jetzt gehts weiter:
Offenbar in Folge des Einbruches beim Schnüffelsoftware-Hersteller Hacking Team sind zwei weitere kritische Lücken in Adobes Flash-Player bekannt geworden. Wie Adobe mitteilt, betreffen die mit den Kennungen CVE-2015-5122 und CVE-2015-5123 versehenen Zero-Day-Lücken Flash-Player-Installationen unter Windows, Mac und Linux. Ausnutzung der Schwachstellen könnte zu Abstürzen führen sowie dazu, dass Angreifer das betroffene System übernehmen. Patches für die Lücke will das Unternehmen aber erst im Laufe der kommenden Woche bereitstellen. Angreifbar seien die Versionen bis 18.0.0.203 für Windows und OSX, bis 18.0.0.204 für Chrome unter Linux, ferner die ESR-Versionen bis 13.0.0.302 für Windows und Mac sowie die ESR-Versionen bis 11.2.202.481 für Linux.
http://www.heise.de/newsticker/meldung/Nach-Hacking-Team-Leak-Zwei-neue-Flash-Luecken-aufgetaucht-2748506.html Für mich stellt sich die Frage, warum eine nachweislich über viele Jahre unsichere Software in den Paketquellen einer Distribution bleibt, die damit wirbt, sicherer zu sein und sich als weniger anfällig für Schadsoftware versteht. Ob man sich einen Trojaner als Mailanhang unter Windows oder den Flashplayer unter Win/Linux/MacOS installiert, soviel Unterschied ist da nicht. Ohne den Einbruch bei Hacking Team würden die 3 Lücken noch immer unentdeckt sein, die 1. wurde seit vielen Jahren (mindestens von diesem Sicherheitsunternehmen) ausgenutzt.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
verdooft schrieb: Für mich stellt sich die Frage, warum eine nachweislich über viele Jahre unsichere Software in den Paketquellen einer Distribution bleibt, die damit wirbt, sicherer zu sein und sich als weniger anfällig für Schadsoftware versteht. Ob man sich einen Trojaner als Mailanhang unter Windows oder den Flashplayer unter Win/Linux/MacOS installiert, soviel Unterschied ist da nicht.
Weil sich dann die ganzen Windows-Umsteiger beschweren wuerden, dass ihre Flash-Spiele nicht funktionieren wuerden. Flash ist ja weder OpenSource, noch kann es von der Community oder sonst wem gefixt werden. Deshalb ist es ja auch nicht in den normalen Paketquellen, sondern in einem Bereich, der proprietaere Software oder solche mit problematischen Lizenzen geschaffen wurde. Wer diese aktiviert, muss sich auch im klaren sein, dass die Community hier bei Fehlern oder Luecken nichts unternehmen kann.
|
verdooft
(Themenstarter)
Anmeldungsdatum: 15. September 2012
Beiträge: 4016
|
Ja, was mich irritiert ist, dass vor dem Flashplayer nicht mehr gewarnt wird. https://apps.ubuntu.com/cat/applications/precise/adobe-flashplugin/
Adobe® Flash® Player is a cross-platform, browser-based application runtime that provides uncompromised viewing of expressive applications, content, and videos across browsers and operating systems. License: Open Source
Keine Ahnung, ob sich dieses Open Source nur auf eine App, bzw. das Paket, das den Player dann runterläd, bezieht, kein Wort zu den Sicherheitslücken der vergangenen Tage. Auch in der Paketbeschreibung zu flashplugin-installer wird lediglich vor der Lizenz gewarnt:
WARNUNG: Durch die Installation dieses Ubuntu-Pakets wird die Adobe- Flashplayer-Erweiterung von Adobes Webseite heruntergeladen. Die Weitergabelizenz der Adobe-Flashplayer-Erweiterung ist unter www.adobe.com verfügbar. Die Installation dieses Pakets impliziert die Zustimmung dieser Lizenz.
Klingt für mich so, als würde jemand anderes (Adobe sowieso, NSA auch 😀) wollen, dass diese unsichere Software weiter weit verbreitet wird. Bestehende Sicherheitslücken und deren jahrelange Ausnutzbarkeit zu erwähnen wäre zumindest meiner Meinung nach keine Rufschädigung, nur angemessene Information. Immerhin wird durch den Flash Player aktuell jedes Linuxsystem angreifbar. Kann man sowas wirklich bei der Auswahl der Pakete einer Distribution ignorieren? Ok, Adobe wird auf der Downloadseite auch nicht davor warnen, bietet munter die Versionen mit Sicherheitslücken weiter an. Auch in der offiziellen Ubuntudokumentation kein Hinweis auf Sicherheitsrisiken, außer dass die Lizenz bedauert wird, sonst käme der Player wohl automatisch...:
However, because of license restrictions on this program's distribution, Ubuntu cannot include Flash automatically.
https://help.ubuntu.com/community/RestrictedFormats/Flash
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
Jetzt hab ich auf "Hilfe zur Syntax" geklickt um zu sehen, wie man Listen macht. Normaler Link auf eine neue Seite und der Text war dann natuerlich weg... Hier also verkuerzt nochmal: verdooft schrieb: Ja, was mich irritiert ist, dass vor dem Flashplayer nicht mehr gewarnt wird.
Eine Warnung loest das Problem nicht, nur ein Fix des Herstellers, der dann von den Distributionen an die User durchgereicht wird. https://apps.ubuntu.com/cat/applications/precise/adobe-flashplugin/
Adobe® Flash® Player is a cross-platform, browser-based application runtime that provides uncompromised viewing of expressive applications, content, and videos across browsers and operating systems. License: Open Source
Keine Ahnung, ob sich dieses Open Source nur auf eine App, bzw. das Paket, das den Player dann runterläd, bezieht, kein Wort zu den Sicherheitslücken der vergangenen Tage. Auch in der Paketbeschreibung zu flashplugin-installer wird lediglich vor der Lizenz gewarnt:
WARNUNG: Durch die Installation dieses Ubuntu-Pakets wird die Adobe- Flashplayer-Erweiterung von Adobes Webseite heruntergeladen. Die Weitergabelizenz der Adobe-Flashplayer-Erweiterung ist unter www.adobe.com verfügbar. Die Installation dieses Pakets impliziert die Zustimmung dieser Lizenz.
Ich vermute es gibt hier mehrere Komponenten: Der Installer (OpenSource), der laedt das proprietaere Programm von der Website herunter und installiert es Und das Plugin stellt die Einbindung in Browser her (OpenSource)
Klingt für mich so, als würde jemand anderes (Adobe sowieso, NSA auch 😀) wollen, dass diese unsichere Software weiter weit verbreitet wird. Bestehende Sicherheitslücken und deren jahrelange Ausnutzbarkeit zu erwähnen wäre zumindest meiner Meinung nach keine Rufschädigung, nur angemessene Information.
So wie dies auch bei Java der Fall sein sollte.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
verdooft schrieb: Für mich stellt sich die Frage, warum eine nachweislich über viele Jahre unsichere Software in den Paketquellen einer Distribution bleibt, die damit wirbt, sicherer zu sein und sich als weniger anfällig für Schadsoftware versteht.
Also ich kenne nur eine einzige größere Distribution, die Flash in den eigenen Paketquellen anbietet: Linux Mint - mit einer seit Jahren nicht mehr unterstützten 10er-Version...
|
verdooft
(Themenstarter)
Anmeldungsdatum: 15. September 2012
Beiträge: 4016
|
Hm, laut Wikiartikel ist das eine Canonicalquelle:
bietet Canonical 🇬🇧 als kommerzieller Sponsor von Ubuntu separate Paketquellen an
https://wiki.ubuntuusers.de/Canonical_Partner Die Quelle gehört doch auch zur Distribution, wenn die erstmal nicht aktiviert ist.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
verdooft schrieb: Keine Ahnung, ob sich dieses Open Source nur auf eine App, bzw. das Paket, das den Player dann runterläd, bezieht
Die Lizenz eines Pakete bezieht sich immer auf dessen Inhalt.
kein Wort zu den Sicherheitslücken der vergangenen Tage.
Das hat doch auch nicht das geringste zu suchen.
Klingt für mich so, als würde jemand anderes (Adobe sowieso, NSA auch 😀) wollen, dass diese unsichere Software weiter weit verbreitet wird. Bestehende Sicherheitslücken und deren jahrelange Ausnutzbarkeit zu erwähnen wäre zumindest meiner Meinung nach keine Rufschädigung, nur angemessene Information.
Also gleich noch vor Java, Firefox, dem Linux-Kernel etc. pp. warnen. Oder am besten vor jeder Software, denn keine Software ist fehlerfrei.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
verdooft schrieb: Hm, laut Wikiartikel ist das eine Canonicalquelle:
bietet Canonical 🇬🇧 als kommerzieller Sponsor von Ubuntu separate Paketquellen an
https://wiki.ubuntuusers.de/Canonical_Partner Die Quelle gehört doch auch zur Distribution, wenn die erstmal nicht aktiviert ist.
Jeder ist für die Paketquellen, die er hinzufügt, selbst verantwortlich. Und nein, die gehört explizit nicht "zur Distribution", es wird beschrieben, dass dort Software liegt, auf die Canonical keinen Einfluss hat. Mit Flash hat das im Übrigen nichts zu tun.
|
verdooft
(Themenstarter)
Anmeldungsdatum: 15. September 2012
Beiträge: 4016
|
Natürlich hat das was mit Flash zu tun. Die Paketquelle ist übrigens schon nach der Installation vorhanden, lediglich nicht aktiviert.
Jeder ist für die Paketquellen, die er hinzufügt, selbst verantwortlich.
Da Canonical die Quelle hinzugefügt hat, ist Canonical also auch dafür verantwortlich? Wenn unsichere Software nicht aus den Paketquellen entfernt wird, ist jede x-beliebige Fremdquelle genauso vertrauenswürdig wie Canonical. Wie geschrieben, hier geht's nicht um "vielleicht sind Sicherheitslücken drin", sondern darum, dass jahrelang schwerwiegende Lücken enthalten sind, die aktiv ausgenutzt wurden und werden und welche nur per Zufall (weil interne Dokumente einer Un/Sicherheitsfirma kopiert wurden) ans Tageslicht gekommen sind. Wie du da den Opensourcekernel als Vergleich siehst, verstehe ich nicht.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
verdooft schrieb: Natürlich hat das was mit Flash zu tun.
Nein, denn das liegt nicht in den Partner Repos. Somit hat es also keinen Bezug dazu. Klingt logisch...
Die Paketquelle ist übrigens schon nach der Installation vorhanden, lediglich nicht aktiviert.
Und man ist selbst dafür verantwortlich, sie zu aktivieren. Wie ich ja schon schrieb ist jeder selbst dafür verantwortlich, was er sich ins System holt.
Da Canonical die Quelle hinzugefügt hat, ist Canonical also auch dafür verantwortlich?
Fügt nicht "Canonical", sondern der Nutzer dieser Quelle zum System hinzu, denn nicht aktivierte Quellen sind überraschender Weise nicht aktiv. Ist Canonical für diese Pakete eben nicht verantwortlich, da sie diese nicht beeinflussen können. Aber auch das schrieb ich dir schon. Und es steht in der Dokumentation...
Wenn unsichere Software nicht aus den Paketquellen entfernt wird, ist jede x-beliebige Fremdquelle genauso vertrauenswürdig wie Canonical.
Und auch hier nochmal: Flash liegt nicht in den Partner Repos. Und wenn du "unsichere Software" entfernt haben willst, wirst du wohl ein paar tausend Pakete von den Servern entfernen lassen müssen.
Wie geschrieben, hier geht's nicht um "vielleicht sind Sicherheitslücken drin", sondern darum, dass jahrelang schwerwiegende Lücken enthalten sind, die aktiv ausgenutzt wurden und werden und welche nur per Zufall (weil interne Dokumente einer Un/Sicherheitsfirma kopiert wurden) ans Tageslicht gekommen sind.
Flash hat in der Regel immer eine Menge offenener Sicherheitslücken. Seit Jahren. Ebenso Java. Und Firefox. Und...
Wie du da den Opensourcekernel als Vergleich siehst, verstehe ich nicht.
Weil auch dort jahrelang Sicherheitslücken vorhanden waren und genutzt werden konnten.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Ich bin einer dieser Windows-Umsteiger... bzw. ich würde eher sagen ein User, der einfach mehr kennenlernen will, als nur die Windowswelt ansich. Und es stimmt, ich spiele ein Browserspiel, ohne dieses könnte ich garnicht leben. ☺ Es ist ein Multiplayerspiel, deswegen ist es mir halt so wichtig. Das erste, was ich nach der Installation eines *ubuntus oder generell einer Distri mache, ist den fglrx und den Chromebrowser mit Flash zu installieren. Ja sogar den Chrome brauche ich dafür, weil das Flash unter dem Firefox viel träger für dieses Spiel ist. Ganz ehrlich: ICH finde es sogar nervig, WEIL diese Dinge nicht schon vorinstalliert sind. Ich würde mir mal eine Distri wünschen, die nicht nur ein Popup nach der Installation öffnet, jetzt mal sinngemäß übersetzt: "Die Grundinstallation ist abgeschlossen, weitere Module werden nachgeladen, weil dies eine Netzwerk-Installations-ISO ist" sondern desweiteren direkt: "Wo wir grade dabei sind, 1500 Pakete nachzuladen... wollen sie auch noch ihre Grafiktreiber und den Adobe Flash mit dazu? Die Risiken kennen sie? (Hier Link einfügen zur Aufklärung) Und es ist kein Open Source und die Linuxer hassen ja alles was nicht Open Source ist. Aber.. wollen sies trotzdem? Mit einem Klick auf "JA, Zusatzsoftware installieren" stimmen sie den Lizenzbestimmungen von AMD, NVIDIA und Adobe zu." Da würde ich natürlich supergern mit JA antworten, wenn es sowas gäbe. ☺ Es ist tatsächlich nervig, dass es sowas nicht gibt. Das elementaryOS hat da einen Mittelweg eingeschlagen, Flash für Firefox kommt dort schon installiert daher, der Firefox selbst allerdings nicht! Lach.. sondern der Blöd-Midoribrowser. Dämlich, aber immerhin hat mans Flash direkt nach der Firefox-Installation startklar. Am Ende des Tages wird man einen Weg finden müssen. Momentan gibt es noch keinen "richtigen" Weg. Für Sicherheitsmenschen die nichts zocken schon aber für Normaluser nicht. Und außerdem sage ich euch noch eines:
Deutschland ist das weltweit stärkste Gamerland. Wir sind weltweit führend, haben die meisten Gamer per capita und auch die STÄRKSTE Hardware per capita aller Staaten weltweit! In Deutschland wird Linux nicht ohne die Gamer hochkommen, an denen führt kein Weg vorbei, und wenns die Oma mit ihrem Flashgame ist! Aber was machen Gamer denn? Richtig - Steam installieren - ihr Game downloaden und starten - danach die Foren überschwemmen und danach den X.Org-Treiber ersetzen. Wo bitte macht das denn Sinn, warum ist dafür kein Platz auf dem Fedora22-GAMES.ISO?? Und danach oder davor, werden sie noch an der Flash-Installation verzweifeln. So funktionierts nicht mit der Masse. Aber das ist ja jetzt auch nur meine persönliche Meinung und vielleicht auch eine konstruktive Kritik.
|
wxpte
Anmeldungsdatum: 20. Januar 2007
Beiträge: 1175
Wohnort: Schäl Sick
|
Dogeater schrieb: "Wo wir grade dabei sind, 1500 Pakete nachzuladen... wollen sie auch noch ihre Grafiktreiber und den Adobe Flash mit dazu? Die Risiken kennen sie? (Hier Link einfügen zur Aufklärung) Und es ist kein Open Source und die Linuxer hassen ja alles was nicht Open Source ist. Aber.. wollen sies trotzdem? Mit einem Klick auf "JA, Zusatzsoftware installieren" stimmen sie den Lizenzbestimmungen von AMD, NVIDIA und Adobe zu."
Da sieht man mal, wie unterschiedlich die Vorlieben und Abneigungen bei verschiedenen Menschen ist: mich würde es umgekehrt nerven, wenn ich schon bei der Grundinstallation Anfragen wegen Zusatzinstallationen bekomme, die mich gar nicht interessieren. Okay: Grafiktreiber sehe ich ja noch ein, aber gerade Webanwendungen, die noch den Flashplayer benötigen, sind doch stark rückläufig. In letzter Zeit war ich schon Monate im Internet unterwegs, ohne dass mir überhaupt aufgefallen ist, dass ich den Flashplayer inzwischen wieder deaktiviert hatte. Wenn ich so etwas wirklich regelmäßig benötige, dann kenne ich den Befehl
sudo apt-get install flashplugin-installer auswendig und tippe ihn im Halbschlaf ein. Dogeater schrieb: Und außerdem sage ich euch noch eines:
Deutschland ist das weltweit stärkste Gamerland. Wir sind weltweit führend, haben die meisten Gamer per capita und auch die STÄRKSTE Hardware per capita aller Staaten weltweit!
Dann wundert es mich, dass bis jetzt noch kein "Ubuntu Game" genanntes Derivat erschienen ist. Wenn die Gamer so stark vertreten sind, dann müssten sich doch auch unter den Entwicklern genügend finden, die den Ehrgeiz haben, eine Distri auf diesen Zweck hin zu optimieren.
|
verdooft
(Themenstarter)
Anmeldungsdatum: 15. September 2012
Beiträge: 4016
|
tomtomtom schrieb:
Und auch hier nochmal: Flash liegt nicht in den Partner Repos.
apt-cache policy adobe-flashplugin
adobe-flashplugin:
Installiert: (keine)
Installationskandidat: 1:20150714.1-0vivid1
Versionstabelle:
1:20150714.1-0vivid1 0
500 http://archive.canonical.com/ubuntu/ vivid/partner amd64 Packages Und eben beim Update: Holen: 1 http://archive.canonical.com/pool/partner/a/adobe-flashplugin/adobe-flashplugin_20150714.1.orig.tar.gz [26,4 MB]
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
http://packages.ubuntu.com/vivid/amd64/flashplugin-installer/download Also multiverse . Kommt also darauf an, welches der drei möglichen Pakete du zur Installation nutzt. Aber du hast Recht, die richtige Formulierung hätte sein müssen "Canonical Partner muss nicht freigeschaltet sein, um Flash zu installieren".
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
WinXP to Edgy schrieb: Dogeater schrieb: "Mit einem Klick auf "JA, Zusatzsoftware installieren" stimmen sie den Lizenzbestimmungen von AMD, NVIDIA und Adobe zu."
Da sieht man mal, wie unterschiedlich die Vorlieben und Abneigungen bei verschiedenen Menschen ist: mich würde es umgekehrt nerven, wenn ich schon bei der Grundinstallation Anfragen wegen Zusatzinstallationen bekomme, die mich gar nicht interessieren. Okay: Grafiktreiber sehe ich ja noch ein, aber gerade Webanwendungen, die noch den Flashplayer benötigen, sind doch stark rückläufig. In letzter Zeit war ich schon Monate im Internet unterwegs, ohne dass mir überhaupt aufgefallen ist, dass ich den Flashplayer inzwischen wieder deaktiviert hatte.
Ja du musst nur einen Klick machen, dann ist die unliebsame Meldung weg. Den anderen die noch kommen mögen, wird diese Sache aber unheimlich helfen.
Und andere Menschen kommen ohne den Flashplayer nicht aus, sie tummeln sich halt in Spielen herum. Klar ist da auch, dass du ihn nicht vermisst. Du schaust auf Youtube sicher auch keine FullHD-Videos, der HTML5-Player ist nämlich noch nicht dazu fähig. Die schaue ich übrigens auch nicht. Aber ich KÖNNTE, mit schnellerem Internet. Den Flash-Player habe ich ja nun, aber das Wissen dazu, das musste ich mir erstmal aneignen. Wie sollte man einem Anfänger da noch etwas Anderes als Mint für den Anfang empfehlen können?
Wenn ich so etwas wirklich regelmäßig benötige, dann kenne ich den Befehl
sudo apt-get install flashplugin-installer auswendig und tippe ihn im Halbschlaf ein.
Ein Yum zuckt da aber mit den Schultern. 😀
Bei manchen Distris ist die Installation von Flash einfach auch nicht möglich als Anfänger. Ich hatte z.B. bei der ersten 32bit Distri nach Mint keine Chance und habe kapituliert. Was war das noch... ahja.. System-RescueCD http://www.sysresccd.org/SystemRescueCd_Homepage
Zu der Zeit ist mir auch nicht eingefallen, dass der Google Chrome ja den Flash von Haus aus mitbringt. Ja also saß ich halt einfach da.
Dogeater schrieb: Und außerdem sage ich euch noch eines:
Deutschland ist das weltweit stärkste Gamerland. Wir sind weltweit führend, haben die meisten Gamer per capita und auch die STÄRKSTE Hardware per capita aller Staaten weltweit!
Dann wundert es mich, dass bis jetzt noch kein "Ubuntu Game" genanntes Derivat erschienen ist. Wenn die Gamer so stark vertreten sind, dann müssten sich doch auch unter den Entwicklern genügend finden, die den Ehrgeiz haben, eine Distri auf diesen Zweck hin zu optimieren.
Du kannst mal nach "Fedora Live Games" mit deiner bevorzugten Suchmaschine suchen und du wirst sicher ein 4GB großes DVD-Image finden. Für ubuntu habe ich sowas in der Tat auch noch nicht entdeckt. Trotzdem - auch einem Fedoragamer bleiben die ganz üblichen Kinkerlitzchen und Schikanen nicht erspart, obwohl diese Distri ZU RECHT den Namen GAMES trägt. Gerade da wundert es aber auch, dass eben dort nicht wenigstens ein wichtiger Hinweis zur Grafiktreiberinstallation kommt. Wie mans macht. Der fglrx ist 100 MB groß, das würde noch auf die DVD passen. Nvidia... weiß nicht, vielleicht auch so ähnlich. Müsste man gucken wie, wenn man es denn nur wollte.
|