CERT.se varnar:
Avinstallera Adobe Flash Player
om den inte är absolut nödvändig
Uppdaterat: 2018-02-03: Länkar (längst ned i artikeln).
2018-02-03 klockan 11.40: Adobes problem – gammal teknik med många säkerhetshål. Dyrt och svårt att åtgärda.
— Av Erik SM7DZV —
En allvarlig zero-day sårbarhet har upptäckts i Adobe Flash Player.
CERT.se, som ingår i MSB, Myndigheten för Samhällsskydd och Beredskap, varnar och uppmanar till avinstallation för alla som inte absolut behöver tillägget för att andra program i datorn ska fungera.
Säkerhetsbristen innebär att en angripare vid framgångsrikt utnyttjande kan ta kontroll över systemet.
Avinstallera så här:
För att avinstallera ett tillägg: Gå till webbläsarens inställningar. Klicka på tillägg. Om Adobe Flash Player är installerat: Klicka på avinstallera.
Adobes problem beror på användning av gammal kod
Adobes återkommande säkerhetsproblem beror på att företaget bygger på gammal teknik, som inte svarar mot dagens säkerhetskrav. Att i efterhand bygga in, förbättra, säkerheten i gamla system är bland det svåraste och kostsammaste man kan göra. Dessutom går det inte att i förväg vara säker på att inga ytterligare säkerhetsbrister upptäcks. Det senare har med all önskvärd tydlighet visats av såväl Microsoft, som tvingades utveckla och lansera Windows 10, och nu Adobe.
Tilläggsprogram för webbläsare
Adobe Flash Player är ett tilläggsprogram som används av webbläsare för att spela upp filer i Adobe Flash-format (.flv och .swf). Adobe Flash Player använder sig av både vektorgrafik och bitmapsgrafik. Det kan även spela upp olika ljudformat.
Många företag kan inte avinstallera Flash
Adobe Flash Player används ofta för att spela upp reklamsnuttar. Programmet används i många sammanhang även för företagsinterna processer som till exempel bokningssystem och tidredovisning. När Flash Player används för sådana ändamål finns programmet installerat på samtliga datorer i inom hela företaget. Det innebär att sådana företag inte kan avinstallera programmet utan att deras datahantering spolieras.
Det finns alternativ till Adobe Flash Player
Det finns alternativ till Adobe Flash Player, till exempel html-5. Men det förutsätter att användarnas programvaror skrivs om, vilket är både dyrt och tidskrävande. Modern programmeringsteknik gör emellertid att betydelsen av Adobe Flash Player minskar.
CERT.se – Del av MSB
CERT.se är en del av MSB som har till uppgift att administrera och övervaka internet och datasäkerhetsfrågor på nationell nivå. CERT.se har uppmärksammat sårbarheten i Adobe Flash Player.
Detta är en nolldagssäkerhetsbrist
Det rör som en så kallad Zero-day sårbarhet. Sådana uppträder när ett programvaruföretag släpper ett nytt eller uppdaterat program som innehåller säkerhetshål.
Dag noll, innan programvarutillverkaren blivit medveten om säkerhetsbristen och fram till dess att en säkerhetsuppdatering släpps av programvaruföretaget har hackare möjligheter att hitta säkerhetshålen och utnyttja dem på skadligt sätt.
Påverkar samtliga tidigare versioner och alla operativsystem
Det är det som har hänt nu. Säkerhetsbristen i Adobe Flash Player har blivit upptäckt, men programvaruföretaget, Adobe, har ännu inte kommit med med någon säkerhetsuppdatering. Säkerhetsbristen påverkar samtliga tidigare versioner av Adobe Flash Player och samtliga operativsystem.
Adobe känner till sårbarheten
CERT.se uppger att nolldags-sårbarheten som hittats i Adobe Flash Player innebär att en angripare vid framgångsrikt utnyttjande kan ta kontroll över systemet. Adobe har enligt uppgift kännedom om att sårbarheten utnyttjas aktivt och planerar en rättning till den 5:e februari 2018. CERT-SE rekommenderar användare av Adobe Flash Player att överväga behovet och om ej nödvändigt, avinstallera.
Påverkade versioner:
Se länk till CERT.se. Klicka på logotypen.
Stora problem för Adobe redan 2015
Under 2015 uppmärksammades återkommande säkerhetsbrister i Adobe Player. I juli uppmanade MSB, liksom idag, användarna avinstallera programmet. Vid två tillfällen senare samma höst gjorde Adobe säkerhetsuppdateringar, som användarna uppmanades ladda ned och installera. 2015, liksom nu, berörde säkerhetsbristerna alla tidigare versioner av programmet och alla operativsystem.
Säkerhetsuppdatering släpps nästa vecka
Adobes säkerhetsuppdateringen kommer enligt CERT.se troligen på måndag nästa vecka.
Adobes säkerhetshistorik allt annat än imponerande
Adobes säkerhetshistorik är allt annat än imponerande. Trots kommande veckas väntade säkerhetsuppdatering gör nog den försiktige generalen klokt i att kritiskt överväga sitt verkliga behov av att installera och på nytt börja använda programmet.
Länkar:
CERT.se: 0-day-sårbarhet i Adobe Flash Player
Amatörradionyheterna juli 2015: Allvarligt säkerhetshål i Flash – MSB: Inaktivera eller avinstallera
Sweclockers.com: Mer och lättläst om Adobes säkerhetsbrist.