Security-Updates von Adobe 10.8.11

[Florian]

Ihr wisst ja hoffentlich, Apple kümmert sich nicht mehr um Flash&co., der User muss selbst updaten (oder die Programme ausschalten o. deinstallieren).

Es gibt Security Updates für Flash, Shockwave Player und Photoshop CS5, sie beseitigen zahlreiche, teils recht kritische, Sicherheitslücken.

Die direkten Downloadlinks:
http://get.adobe.com/de/flashplayer/
Geht man hier auf „Anderer Browser/System" steht was von bis 10.6, stimmt nicht, im nächsten Dropdown geht es bis 10.7.
http://get.adobe.com/de/shockwave/
Browser/OS wird automatisch erkannt. Shockwave bietet "PPC" an, was aber scheinbar nichts zu bedeuten hat.
http://www.adobe.com/support/downloads/detail.jsp?ftpID=5160
(nur für Macs, für Windows Version siehe Support-Dokument)

[radneuerfinder]

Security Updates für Flash

Ich hab im Flash "automatische Updates" angekreuzelt, sollte ich mich trotzdem kümmern??

[Florian]

Wie das?
Meinst Du „Automatisch nach Updates suchen“ in den Systemeinstellungen/Flash?

Sagen wir mal so: Hat es Dich schon mal auf neue Versionen wie die heute aufmerksam gemacht?

[radneuerfinder]

Hat es Dich schon mal auf neue Versionen wie die heute aufmerksam gemacht?

Nein.
Sagen wir mal so: bei den meisten, auch den etwas kleineren Firmen, funktioniert so eine Funktion. Das da bei mir nix kam, habe ich bisher für Zufall gehalten.

[radneuerfinder]

Heute kam tatsächlich eine Installationsaufforderung. Hat sogar fast funktioniert:

[radneuerfinder]

Glücklicherweise sah das UpdateFenster nicht so wie das eines OS X Schädlings aus:

   
http://www.macnews.de/software/flash-player-trojaner-apple-aktualisiert-malware-datenbank-238396

Aber wie hätte ich es im Zweifelfall merken können? 

   [size=24]?[/size]

[Florian]

Naja, um die Malware zu finden, müsstest Du ja erstmal auf die gefälschte Adobe-Seite. Oder auf einen obskuren Email-Link klicken.
Natürlich hätte ich hier theoretisch falsche Links einbauen können… ich meine, wer mir/beliebiger Seite nicht vertraut, geht eben auf Heise Security oder gleich zu Adobe.

Wenn Du ein runtergeladenes Disk Image oder einen Installer startest, fragt Dich OS X noch mal und zeigt die Downloadquelle an.

In diesem Fall könnte man es merken, wenn man weiß das Adobe einen eigenen Installer hat und nicht den Standardinstaller verwendet. Oder wegen der dumm positionierten Überschrift.
Das ist aber ein Sonderfall. Du könntest noch CMD+I drücken und die Dateien anzeigen, aber ein kluger Malware-Entwickler wird sich so nicht zu erkennen geben.

Generell ist es nicht garantiert, dass man es überhaupt erkennen kann. Also die Quellen immer gut auswählen und checken.

[radneuerfinder]

Naja, um die Malware zu finden, müsstest Du ja erstmal auf die gefälschte Adobe-Seite.

Naja, es kam halt urplötzlich ein Fenster, daß es jetzt ein Flash Update gäbe. Da hatte ich vorher nix angeklickt! Das Design kannte ich noch nicht, da ich das Adobe UpdateFenster noch nie gesehen hatte - ist ja auch neu.

So ein Fenster wäre aber bestimmt schnell nachgemacht und könnte doch durchaus von einer seriösen, aber gehackten Internetseite kommen, die ich in einem Hintergrundtab geöffnet habe.

Irgendwie unbefriedigend.  

Ich fordere Flash (& Updates) über den MacAppStore!

[Florian]

Ein Popup/under wie von Dir beschrieben, wäre dann aber innerhalb Safari. Zwar kann man fast alles ausblenden, der Titelleiste & das „Safari“ in der Menüzeile blieben sichtbar, auch Zuordnung in Exposé usw.

Zwei Alternativstrategien:
- Automatische Updates deaktivieren und auf den Lieblingsnewsdienst vertrauen.
- Flash in die Tonne treten

[radneuerfinder]

Deswegen bin ich ja erschüttert. Mein Konzept ist bisher für mich, aber auch für andere Rechner, die ich ein wenig betreue, SoftwareUpdates soweit möglich auf Automatik zu stellen. Am meisten Kommunikationsbedarf entsteht bei Halbautomatiken. Wenn jetzt Leute, die einen Button auf einer Webseite nicht von einem Button in der Menüleiste des Browsers unterscheiden können, zwischen guten und schlechten Updates unterscheiden sollen, dann Gute Nacht.

[Florian]

Das ist eben der Haken an der Sache, dass Apple nur noch die eigene Software mit Updates beglückt.
Der Erfahrung nach stellen Flash und auch Java immer wieder Sicherheitsprobleme da. Ich komme ständig an Rechner, auf denen Versionen mit kritischen und bekannten Lücken installiert sind. Im Büro würde ich beide eiskalt deinstallieren.
Und generell überlege ich mir derzeit, ob ich für die paar Seiten, die wirklich Flash brauchen nicht einen Browser in eine virtuelle Box stecke (bildlich gesprochen). Das wird ja immer öfter so gemacht.