Adobe heeft de ict-wereld verrast met de aankondiging dat het zijn multimediasoftware Flash gaat bijwerken voor Linux. Het gaat om de NPAPI-uitvoering van de Flash Player. Met die browser plug-in kunnen Linux-gebruikers Flash-content bekijken zoals video, games en ook ads. In 2012 heeft Adobe echter aangekondigd dat het de NPAPI-uitvoering Flash op Linux zou laten vallen. Sindsdien is de software niet meer bijgewerkt, met uitzondering van kritieke securityupdates.
Tango met Google
Nu komt Adobe terug op dat besluit. Mogelijk is dit gerelateerd aan Google’s migratie weg van Flash, ten gunste van HTML5. De standaard webtaal heeft de afgelopen jaren steeds meer mogelijkheden gekregen voor multimedia en interactie, waarmee het Flash naar de kroon steekt. Adobe’s schrappen van NPAPI-Flash vier jaar terug liet Linux-gebruikers nog wel de optie van de PPAPI-uitvoering. Dat is een Flash-variant op basis van Google’s Pepper-project om plug-ins cross-platform en veiliger te maken.
PPAPI wordt momenteel alleen gebruikt in Google’s webbrowser Chrome en browsers die zijn gebaseerd op de open source-ondergrond Chromium. Firefox vertrouwt nog op het oudere NPAPI, dat zijn oorsprong heeft bij browserpionier Netscape.
Ene Flash is de andere niet
Overigens is Adobe’s ommekeer voor NPAPI-Flash niet volledig. 'Aangezien deze verandering voornamelijk een security-initiatief is, zullen sommige functies (zoals GPU 3D-versnelling en premium video DRM) niet volledig worden geïmplementeerd. Als je deze functionaliteit nodig hebt, raden we aan dat je de PPAPI-versie van Flash Player gebruikt', blogt productmanager Chris Campbell van Adobe.
Hij legt in de blogpost uit dat de huidige NPAPI-Flash de afgelopen vier jaar op versie 11.2 is gehouden, terwijl de PPAPI-versie wel is bijgewerkt met nieuwe functies. Daarmee is laatstgenoemde variant in lijn met de standaard Flash-releases op Windows en OS X. 'We updaten het bèta-kanaal met Linux NPAPI Flash Player door het naar voor en in sync te brengen met de moderne release-branch (nu op versie 23).'
Beveiliging en malware
Campbell schrijft dat de releases van de NPAPI-versie voor Linux niet komend jaar ten einde zullen komen. 'Zodra we voldoende testing hebben uitgevoerd en feedback van de community hebben gekregen, zullen we zowel NPAPI als PPAPI Linux-builds uitbrengen met hun major versienummers in synch.' Beide releases zullen voortaan op regelmatige basis worden bijgewerkt, belooft Adobe daarbij. Volgens de productmanager dient deze 'significante verandering' om de beveiliging te verbeteren en om aanvullende bescherming (mitigation) te bieden aan de Linux-gemeenschap.
Ondertussen meldt het ict-securityorgaan van de Nederlandse overheid NCSC (Nationaal Cyber Security Centrum) dat advertentienetwerken nog niet in staat zijn om malvertising het hoofd te bieden. Malvertising is het misbruiken van ad-netwerken om malware te distribueren, naar zoveel mogelijk gebruikers. De bedrijven die de advertentienetwerken bestieren, zijn niet opgewassen tegen de inzet van beroepscriminelen. Dit blijkt uit het Cybersecuritybeeld Nederland 2016 (CSBN 2016) dat deze week is aangeboden aan de Tweede Kamer.
Tussenoplossing voor malvertising
'Het brede bereik van advertentienetwerken zorgt, samen met het grote aantal systemen waarop de laatste updates ontbreken, voor een groot aanvalsoppervlak', aldus het NCSC. 'Beheerders van deze websites en de advertentienetwerken zelf hebben geen volledige controle over de advertenties. Dit zorgt ervoor dat malware zich kan verspreiden.' Sommige gewone gebruikers grijpen naar ad-blockers om het securityrisico - en ook de overlast - van online-advertenties in te perken. Dat is echter een tussenoplossing. 'Het volledig blokkeren van advertenties in de browser raakt aan het verdienmodel van website-eigenaren', merkt het NCSC op.
'Om gebruikers te beschermen tegen malvertising zonder alle advertenties te blokkeren zijn fundamentele wijzigingen nodig in de manier waarop deze netwerken werken.' In de tussentijd is het van kritiek belang dat softwareleveranciers als Adobe snel beveiligingsfixes uitbrengen. Daarnaast helpt de overgang naar automatische updates voor belaagde software zoals Flash. Adobe geeft Flash op Linux nu meer security-aandacht.
Om te kunnen beoordelen moet u ingelogd zijn: