Adobe Flash es bajo ataque una vez más , con otro " 0 días ": Se está explotando un nuevo agujero de seguridad antes de que haya un parche disponible. A continuación, le indicamos cómo protegerse de problemas futuros.
Un sitio web malicioso, o un sitio web con un anuncio malicioso de una red publicitaria de terceros, podría abusar de uno de estos errores para comprometer su computadora.
Habilitar Click-to-Play (o desinstalar Flash por completo)
RELACIONADO: Cómo habilitar complementos Click-to-Play en todos los navegadores web
En teoría, podría desinstalar Flash para evitar estos problemas. Se necesita cada vez menos, incluso YouTube descarga Flash por completo para los HTML5 vídeo en navegadores web modernos. En el peor de los casos, cuando te topas con algún tipo de sitio de videos que requiera Flash, siempre puedes simplemente sacar tu teléfono inteligente o tableta y usar el sitio móvil; estos están construidos sin Flash.
Pero a veces necesitas Flash y no podemos recomendar a la mayoría de las personas que lo desinstalen por completo. Si desea instalar Flash, y probablemente lo haga, lamentablemente, Habilitación de clic para reproducir es la mejor opción disponible para ti. Esto evita que los sitios web carguen todo el contenido Flash que desean. Cuando visita un sitio, puede simplemente hacer clic en el icono de marcador de posición para cargar un elemento Flash específico, como el video. Flash no se ejecutará automáticamente, lo que lo protegerá de los ataques "drive-by" en los que se infecta simplemente por visitar un sitio web.
¡Pero no incluya ningún sitio web en la lista blanca!
RELACIONADO: ¿Qué es un exploit de "día cero" y cómo puede protegerse?
No debe utilizar la lista blanca de reproducción por clic, que le permite cargar automáticamente contenido Flash en ciertos sitios de confianza. Este es el por qué:
El ataque reciente fue descubierto en anuncios en Dailymotion, un sitio de videos popular. Este es el tipo de sitio que las personas incluirían en la lista blanca para no necesitar un clic adicional cada vez que quisieran ver un video de Dailymotion. Pero incluir el sitio en una lista blanca permitiría cargar todo el contenido Flash, incluidos los anuncios potencialmente maliciosos. El uso de hacer clic para reproducir y simplemente hacer clic en el reproductor de video principal para cargarlo habría evitado este ataque; hacer clic para reproducir le permite cargar solo elementos Flash específicos en una página, lo que reduce su vulnerabilidad.
La reproducción por clic no es una panacea, ya que algunos anuncios se publican en reproductores de video. Sí, podría ser explotado desde allí mediante algún tipo de vulnerabilidad de día cero. Pero no se trata de evitar todos los riesgos, se trata de minimizar el riesgo tanto como sea posible.
Utilice Chrome, Chromium u Opera para Flash Sandbox
RELACIONADO: Por qué los complementos del navegador están desapareciendo y qué los reemplaza
Los complementos del navegador como Flash nunca se crearon para ser "aislados" por motivos de seguridad, lo que implica ejecutarlos en un entorno de permisos bajos para que los ataques que rompen Flash no tengan acceso a toda su computadora.
Google ha aliviado un poco este problema con el sistema de complementos "PPAPI" (o "API de Pepper") utilizado en Google Chrome y el navegador Chromium de código abierto que forma la base de Chrome. PPAPI proporciona sandboxing adicional, que puede ayudarlo a protegerse de vulnerabilidades. Pero la verdadera solución es reemplazando complementos por completo .
El reciente boletín de seguridad de Adobe notas: "Somos conscientes de los informes de que esta vulnerabilidad se está explotando activamente en la naturaleza a través de ataques drive-by-download contra sistemas que ejecutan Internet Explorer y Firefox en Windows 8.1 y versiones anteriores". Es evidente que Chrome no se menciona, lo que podría deberse a que el sistema PPAPI proporciona seguridad adicional. Los usuarios de Chrome no deberían tener una falsa sensación de seguridad, ya que esto no protege contra todos los problemas, pero Chrome es probablemente el navegador más seguro para usar Flash.
Chrome incluye un complemento Flash, pero también puede descargar el complemento PPAPI para Chromium u Opera del sitio web de Adobe . Chromium forma la base tanto para Chrome como para Opera, por lo que los tres navegadores deberían ofrecer las mismas características de seguridad para Flash.
Mantenga Flash actualizado automáticamente
Asegúrese de mantener actualizado su complemento Flash. Esto no lo protegerá de los días 0, que por definición no tienen un parche lanzado, pero es una parte fundamental para asegurar el complemento Flash en su computadora. Cuando se remenden esos agujeros de seguridad, obtendrá la actualización.
Hay varias formas de hacer esto. Si usa Google Chrome, Google incluye el complemento Flash de espacio aislado (PPAPI) con Chrome. se actualizará automáticamente junto con el navegador web Chrome para que ni siquiera tenga que pensar en ello.
Si usa Internet Explorer en Windows 8 o Windows 8.1, Microsoft también incluye una versión del complemento Flash con IE. Recibirás actualizaciones de Flash para IE de actualizacion de Windows junto con sus otras actualizaciones de seguridad.
Si usa un navegador diferente: Firefox, Opera o Chromium en cualquier versión de Windows; o incluso Internet Explorer en Windows 7 o anterior: deberá utilizar el actualizador integrado de Flash. Flash recomienda que habilite las actualizaciones automáticas cuando lo instale, pero debe verificar que las actualizaciones automáticas estén realmente habilitadas en su computadora.
En Windows, encontrará esta opción en Flash Player en el Panel de control. Abra el Panel de control y busque "Flash" para encontrar el acceso directo, o haga clic en la categoría Sistema y seguridad y desplácese hacia abajo. Haga clic en el icono "Flash Player", haga clic en la pestaña Avanzado y asegúrese de que las actualizaciones automáticas estén habilitadas.
Utilice un navegador o perfil de navegador diferente para Flash
En lugar de desinstalar Flash por completo o depender únicamente de hacer clic para reproducir, puede usar un perfil de navegador separado que tenga Flash habilitado y abrirlo solo cuando lo necesite.
Por ejemplo, si usa Firefox la mayor parte del tiempo, puede desinstalar Flash e instalar Google Chrome. Inicie Google Chrome (que viene con un reproductor Flash integrado) cuando necesite usar contenido Flash. O bien, puede crear un "perfil" separado (cuenta de usuario en Chrome) en el navegador y deshabilitar Flash solo en su perfil principal, dejando Flash habilitado en el perfil secundario. Esto aislaría Flash en un área separada lejos de su navegador principal.
Los complementos del navegador son peligrosos; en realidad, los complementos y la arquitectura de complementos subyacente en sí no se diseñaron pensando en la seguridad. Java es el peor del grupo , pero incluso Flash tiene una serie interminable de problemas. La buena noticia es que el único complemento que probablemente necesite es Flash, y la web depende menos de él cada día que pasa.
