Adobe Flash ist erneut angegriffen , mit noch einem “ 0 Tage ”- eine neue Sicherheitslücke, die ausgenutzt wird, bevor überhaupt ein Patch verfügbar ist. So schützen Sie sich vor zukünftigen Problemen.
Eine böswillige Website - oder eine Website mit einer böswilligen Werbung aus einem Werbenetzwerk eines Drittanbieters - kann einen dieser Fehler missbrauchen, um Ihren Computer zu gefährden.
Click-to-Play aktivieren (oder Flash vollständig deinstallieren)
VERBUNDEN: So aktivieren Sie Click-to-Play-Plugins in jedem Webbrowser
Sie könnten Flash theoretisch deinstallieren, um diese Probleme zu vermeiden. Es wird immer weniger benötigt, selbst wenn YouTube Flash für die Moderne komplett entleert HTML5 Video in modernen Webbrowsern. Im schlimmsten Fall, wenn Sie auf eine Video-Site stoßen, für die Flash erforderlich ist, können Sie jederzeit einfach Ihr Smartphone oder Tablet herausziehen und die mobile Site verwenden - diese werden ohne Flash erstellt.
Manchmal benötigen Sie jedoch Flash, und wir können den meisten Benutzern nicht empfehlen, es vollständig zu deinstallieren. Wenn Sie möchten, dass Flash installiert wird - und das tun Sie wahrscheinlich leider - Click-to-Play aktivieren ist die beste Option, die Ihnen zur Verfügung steht. Dies verhindert, dass Websites alle gewünschten Flash-Inhalte laden. Wenn Sie eine Site besuchen, können Sie einfach auf das Platzhaltersymbol klicken, um ein bestimmtes Flash-Element wie das Video zu laden. Flash wird nicht automatisch ausgeführt und schützt Sie vor Drive-by-Angriffen, bei denen Sie sich infizieren, indem Sie einfach eine Website besuchen.
Aber keine Whitelist für Websites!
VERBUNDEN: Was ist ein "Zero-Day" Exploit und wie können Sie sich schützen?
Sie sollten die Click-to-Play-Whitelist nicht verwenden, mit der Sie Flash-Inhalte auf bestimmten vertrauenswürdigen Websites automatisch laden können. Hier ist der Grund:
Der jüngste Angriff wurde in Anzeigen auf Dailymotion, einer beliebten Video-Site, entdeckt. Dies ist die Art von Website, die von Personen auf die Whitelist gesetzt wird, sodass sie nicht jedes Mal einen zusätzlichen Klick benötigen, wenn sie ein Dailymotion-Video ansehen möchten. Durch die Whitelist der Website können jedoch alle Flash-Inhalte geladen werden, einschließlich der potenziell schädlichen Anzeigen. Die Verwendung von Click-to-Play und das Klicken auf den Hauptvideoplayer zum Laden hätte diesen Angriff verhindert. Mit Click-to-Play können Sie nur bestimmte Flash-Elemente auf einer Seite laden, wodurch Ihre Sicherheitsanfälligkeit verringert wird.
Click-to-Play ist kein Allheilmittel, da einige Anzeigen in Videoplayern geschaltet werden. Ja, Sie könnten möglicherweise von dort aus mithilfe einer Zero-Day-Sicherheitsanfälligkeit ausgenutzt werden. Es geht jedoch nicht darum, jedes Risiko zu vermeiden, sondern das Risiko so gering wie möglich zu halten.
Verwenden Sie Chrome, Chromium oder Opera für die Flash-Sandbox
VERBUNDEN: Warum Browser-Plug-Ins nicht mehr funktionieren und was sie ersetzt
Browser-Plug-Ins wie Flash wurden aus Sicherheitsgründen nie als "Sandbox" eingestuft. Dazu müssen sie in einer Umgebung mit geringen Berechtigungen ausgeführt werden, damit Angriffe, die Flash knacken, nicht auf Ihren gesamten Computer zugreifen können.
Google hat dieses Problem mit dem in Google Chrome verwendeten Plug-In-System "PPAPI" (oder "Pepper API") und der Open-Source-Chromium-Suche, die die Grundlage für Chrome bildet, ein wenig behoben. PPAPI bietet zusätzliches Sandboxing, mit dem Sie vor Sicherheitslücken geschützt werden können. Aber die wirkliche Lösung ist Plug-Ins vollständig ersetzen .
Das aktuelle Security Bulletin von Adobe Anmerkungen: "Uns ist bekannt, dass diese Sicherheitsanfälligkeit in freier Wildbahn durch Drive-by-Download-Angriffe auf Systeme, auf denen Internet Explorer und Firefox unter Windows 8.1 und niedriger ausgeführt werden, aktiv ausgenutzt wird." Chrome wird auffällig nicht erwähnt, was daran liegen könnte, dass das PPAPI-System zusätzliche Sicherheit bietet. Chrome-Nutzer sollten kein falsches Sicherheitsgefühl haben, da dies nicht vor jedem Problem geschützt ist. Chrome ist jedoch wahrscheinlich der sicherste Browser, in dem Flash verwendet wird.
Chrome enthält ein Flash-Plug-In, Sie können jedoch auch das PPAPI-Plug-In für Chromium oder Opera herunterladen von der Adobe-Website . Chromium bildet die Basis für Chrome und Opera, daher sollten die drei Browser dieselben Sicherheitsfunktionen für Flash bieten.
Halten Sie Flash automatisch aktualisiert
Stellen Sie sicher, dass Ihr Flash-Plug-In auf dem neuesten Stand ist. Dies schützt Sie nicht vor den 0 Tagen, für die per Definition kein Patch veröffentlicht wurde, ist jedoch ein wichtiger Bestandteil für die Sicherung des Flash-Plug-Ins auf Ihrem Computer. Wenn diese Sicherheitslücken gepatcht sind, erhalten Sie das Update.
Es gibt verschiedene Möglichkeiten, dies zu tun. Wenn Sie Google Chrome verwenden, enthält Google das Flash-Plug-In mit Sandbox (PPAPI) in Chrome. Es wird automatisch zusammen mit dem Chrome-Webbrowser aktualisiert, sodass Sie nicht einmal darüber nachdenken müssen.
Wenn Sie Internet Explorer unter Windows 8 oder Windows 8.1 verwenden, enthält Microsoft auch eine Version des Flash-Plug-Ins mit IE. Sie erhalten Updates für Flash für IE von Windows Update zusammen mit Ihren anderen Sicherheitsupdates.
Wenn Sie einen anderen Browser verwenden - Firefox, Opera oder Chromium unter einer beliebigen Windows-Version; oder sogar Internet Explorer unter Windows 7 oder früher - Sie müssen den integrierten Flash-Updater verwenden. Flash empfiehlt, dass Sie automatische Updates aktivieren, wenn Sie es installieren. Sie sollten jedoch überprüfen, ob automatische Updates tatsächlich auf Ihrem Computer aktiviert sind.
Unter Windows finden Sie diese Option unter Flash Player in der Systemsteuerung. Öffnen Sie die Systemsteuerung und suchen Sie nach „Flash“, um die Verknüpfung zu finden, oder klicken Sie auf die Kategorie System & Sicherheit und scrollen Sie nach unten. Klicken Sie auf das Symbol „Flash Player“, klicken Sie auf die Registerkarte Erweitert und stellen Sie sicher, dass automatische Updates aktiviert sind.
Verwenden Sie einen anderen Browser oder ein anderes Browserprofil für Flash
Anstatt Flash vollständig zu deinstallieren oder nur von Click-to-Play abhängig zu machen, können Sie ein separates Browserprofil verwenden, für das Flash aktiviert ist, und es nur öffnen, wenn Sie Flash benötigen.
Wenn Sie beispielsweise die meiste Zeit Firefox verwenden, können Sie Flash selbst deinstallieren und Google Chrome installieren. Starten Sie Google Chrome (das mit einem integrierten Flash Player geliefert wird), wenn Sie Flash-Inhalte verwenden müssen. Sie können auch ein separates „Profil“ (Benutzerkonto in Chrome) im Browser selbst erstellen und Flash nur in Ihrem Hauptprofil deaktivieren, wobei Flash im sekundären Profil aktiviert bleibt. Dies würde Flash in einem separaten Bereich von Ihrem Hauptbrowser isolieren.
Browser-Plug-Ins sind gefährlich - die Plug-Ins und die zugrunde liegende Plug-In-Architektur selbst wurden nicht aus Sicherheitsgründen entwickelt. Java ist das Schlimmste , aber selbst Flash hat einen endlosen Strom von Problemen. Die gute Nachricht ist, dass das einzige Plug-In, das Sie wahrscheinlich benötigen, Flash ist und das Web mit jedem Tag weniger davon abhängt.
