Vær forsiktig med IE10 og Flash

Sårbarheter angripes, men Microsoft vil vente flere uker med sikkerhetsfiks.

Microsoft henger etter med å oppdatere Flash Player i Internet Explorer 10.
Microsoft henger etter med å oppdatere Flash Player i Internet Explorer 10. Bilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
10. sep. 2012 - 13:40

Med Internet Explorer 10 og Windows 8 gjør Microsoft som Google gjør i Chrome, nemlig å inkludere Adobe Flash Player som en obligatorisk komponent i nettleseren. Det er flere fordeler med dette, blant annet at nettleserleverandøren med sine egne metoder sikrer at brukeren til enhver tid har den nyeste versjonen av Flash-pluginen.

Men for at dette skal være en fordel, må nettleserleverandøren sørge for at Flash Player-modulen i nettleseren i alle fall ikke oppdateres noe senere enn den frittstående programvaren fra Adobe. For Flash Player i verken IE10 eller Chrome kan oppdateres manuelt med oppdateringer direkte fra Adobe.

Selv om Windows 8 ennå ikke har kommet i vanlig salg, kan man gå ut fra at operativsystemet allerede har blitt tatt i bruk av millioner av brukere, gjennom blant annet diverse prøveordninger, abonnementer og volumlisensavtaler.

Går man inn på denne siden med en nettleser, får man se hvilken versjon av Flash Player som kjøres i nettleseren. Trolig vil det overraske mange IE10-brukere at versjonsnummeret til Flash Player i IE10 er betydelig lavere enn versjonsnummeret Flash Player-utgaven av som er tilgjengelig for de fleste andre nettlesere, inkludert eldre utgaver av Internet Explorer.

Den nyeste versjonen av Flash Player til Internet Explorer 9 og eldre kom den 21. august, bare en uke etter den forrige oppdateringen. Begge inkluderer sikkerhetsfikser for sårbarheter som ikke har blitt fjernet fra Flash Player-utgave som følger med IE10, versjon 11,3,372,94. Dette forteller Wiebke Lips, en talskvinne for Adobe, til amerikanske Computerworld.

Flere av disse sårbarhetene skal allerede bli utnyttet i angrep.

En Adobe-representant skriver her at Microsoft vil komme med en sikkerhetsoppdatering til den integrerte Flash Player-modulen i IE gjennom Windows Update, men at dette ikke vil skje før Windows 8 er allment tilgjengelig, altså den 26. oktober. Da vil det ha gått mer enn to måneder siden Adobe kom med sine sikkerhetsfikser.

– Sikkerhet er selvfølgelig viktig for oss, og vi arbeider direkte med Adobe for å sikre at Windows 8-kundene forblir sikre. Vi vil oppdatere Flash i Windows 8 via Windows Update ved behov. Dagens versjon av Flash i Windows 8 RTM har ikke den siste fiksen, men vi vil komme med en sikkerhetsoppdatering gjennom Windows Update i tidsrammen for GA [General Availability, red. anm], sier en talsperson for Microsoft til ZDNet.

Nå er ikke dette det første tilfellet av at en programvareleverandør somler med å gi ut sikkerhetsfikser på vegne av andre. Apple brukte denne våren to måneder lenger tid enn Oracle på å fjerne en sårbarhet i selskapets egen Java-installasjon, noe som ga trojaneren Flashback gode vekstmuligheter i OS X.

I utgangspunktet bør derfor Windows 8-brukere deaktivere Flash Player i IE10 inntil sikkerhetsoppdateringen foreligger.

Forøvrig kan den nevnes at heller ikke Google Chrome for Windows og Linux inkluderer den nyeste versjonen av Flash Player, 11.4.402.265, i motsetning til Mac-versjonen av Chrome. Men de aktuelle sårbarhetene skal likevel være fjernet.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.