IE11 in Windows 7 blockiert künftig veraltete Flash-Plugins

    Adobe Flash blockierenMicrosoft kündigte an, das der Internet Explorer 11 ab Oktober die Aus­führung von veral­teten Ver­sionen des Flash-Plugins ver­hindern wird. Damit erwei­tert der Her­steller ein Feature, das bis dato bereits un­sichere Addons für Java und Silver­light blockiert. Für Flash greift es nur in Windows 7, aber nicht in den neueren Versionen.

    Adobe Flash gehört neben Java zu jenen Browser-Erweiterungen, die immer wieder durch schwere Sicherheits­mängel auffallen. Aufgrund der weiten Verbreitung dieser Technologien können Anwender oft nicht vollständig darauf verzichten. Die beste Lösung bestünde sicher darin, wenn Admins alle Patches möglichst schnell einspielen würden.

    IE lädt Versionsliste für Add-ons herunter

    In der Praxis sind aber häufig noch veraltete Versionen dieser Plugins im Einsatz, so dass sich Microsoft schon vor längerer Zeit entschlossen hat, diese im IE zu blockieren. Der Browser lädt zu diesem Zweck eine XML-Datei herunter, die definiert, welche ActiveX-Controls als gefährlich gelten.

    Diese Versionsliste ändert sich mit der Zeit. Welche Plugins aktuell betroffen sind, kann man dieser TechNet-Seite entnehmen. Der Bann für Adobe Flash gilt vorerst für die Versionen, die älter sind als 21.0.0.198 und Extended Support Release 18.0.0.241.

    Warnhinweis nur für Admins

    Der Ankündigung auf dem Windows-Blog zufolge sollen normale Benutzer den Hinweis nicht zu sehen bekommen, nachdem ein veraltetes ActiveX-Control an der Ausführung gehindert wurde. Er soll lokalen Admin vorbehalten bleiben, es sei dann, man fügt einen entsprechenden Schlüssel in der Registry ein. Die Warnung erscheint zudem pro Tab nur einmal, so dass keine weitere Nachfrage folgt, wenn man die einmalige Ausführung erlaubt.

    Bis dato konnten auch Standard­benutzer anhand des eingeblendeten Hinweises entscheiden, ob sie eine einmalige Ausführung erlauben oder ein Update herunter­laden wollen. Diese Freiheit kann man einschränken, etwa indem Admins den Button für die einmalige Ausführung per GPO ausblenden. Microsoft lässt sich nicht darüber aus, warum es für Flash einen anderen Modus gewählt hat.

    Intranet nicht betroffen

    Wie bisher blockiert der IE die Plugins nur in der Zone Internet, nicht aber in Lokales Intranet oder bei vertrauens­würdigen Sites. Auf diese Weise werden interne Anwendungen nicht beeinträchtigt, die noch auf alter Technologie beruhen, wie das etwa bei manchen Branchen­lösungen der Fall ist.

    Einstellungen, mit denen sich das Blockieren von älteren ActiveX per GPO steuern lässt.

    Auf Rechnern, die Mitglied in einer AD-Domäne sind, kann dieses Feature über Gruppenrichtlinien konfiguriert werden. Die zuständigen Einstellungen finden sich unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheits­funktionen => Add-on-Verwaltung.

    Dort lässt sich das Blockieren von alten Browser-Erweiterungen entweder ganz oder nur für bestimmte Domänen abschalten, wenn man diese in eine Whitelist einträgt.

    Blockade nur in IE unter Windows 7

    Im Gegensatz zum Schutz gegen alte Java-Plugins greift das Feature für Flash nur bei IE 11 unter Windows 7 SP1 und Server 2008 R2. Microsoft begründet diese Einschränkung damit, dass Windows 8.1 und 10 sowie Server 2012 (R2) die aktuellsten Flash-Player automatisch über Windows Update erhalten.

    1 Kommentar

    Bild von Steffen
    Steffen sagt:
    1. Juli 2017 - 7:39

    Ist eine Lüge, die Dateien für Flash im IE11 für Win7, sind völlig identisch mit denen in Win8/10, es gibt keinen Unterschied.

    Anscheinend will MS die User nur zwingen auf Win8/10 umzusteigen.
    Die Hilfeseite von MS gibt sogar eine Anleitung (März 17) wie Flash unter Win7 und IE11 läuft.