Google Chrome: versteckte Flash-Inhalte werden ab September nicht mehr abgespielt

Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden, wie Google jetzt in einem Blogeintrag angekündigt hat. Damit steht nun auch offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Google setzt damit im September um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bei Firefox und Chrome können Nutzer bereits jetzt Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Laut Mozilla soll diese als „Click-to-play“ bezeichnete Funktion bei Firefox dann 2017 „für jedwede Art von Inhalten“ erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Ab Dezember soll die Funktion bei Chrome mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Heute werden rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt, so Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden.

Mit Chrome 42 wurde bereits im September vergangenen Jahres die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als „kritisch“ eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Angreifern. Alternativen sind nicht zuletzt deshalb stark auf dem Vormarsch. Viel besuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den Flash-Inhalten, die nicht sichtbar sind, handelt es sich vor allem um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies macht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun möglich und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten zählen auch die sogenannte „Supercookies“, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String „Cookie“ enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield).

[Mit Material von Peter Marwan, silicon.de]