Adobe Flash è ancora una volta sotto attacco , con l'ennesimo " 0 giorni ": Una nuova falla nella sicurezza viene sfruttata prima ancora che sia disponibile una patch. Ecco come proteggerti dai problemi futuri.
Un sito Web dannoso o un sito Web con una pubblicità dannosa da una rete pubblicitaria di terze parti potrebbe abusare di uno di questi bug per compromettere il computer.
Abilita Click-to-Play (o Disinstalla completamente Flash)
RELAZIONATO: Come abilitare i plugin click-to-play in ogni browser web
In teoria potresti disinstallare Flash per evitare questi problemi. È necessario sempre meno, persino YouTube che scarica completamente Flash per i moderni HTML5 video nei browser Web moderni. Nella peggiore delle ipotesi, quando ti imbatti in una sorta di sito di video che richiede Flash, potresti sempre tirare fuori il tuo smartphone o tablet e utilizzare il sito mobile - quelli sono costruiti senza Flash.
Ma a volte hai bisogno di Flash e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi che Flash sia installato - e probabilmente lo fai, purtroppo - abilitare il click-to-play è la migliore opzione disponibile per te. Ciò impedisce ai siti Web di caricare tutto il contenuto Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona del segnaposto per caricare un elemento Flash specifico, come il video. Flash non viene eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui vieni infettato semplicemente visitando un sito web.
Ma non inserire alcun sito web nella whitelist!
RELAZIONATO: Che cos'è un exploit "zero-day" e come puoi proteggerti?
Non dovresti utilizzare la whitelist click-to-play, che ti consente di caricare automaticamente i contenuti Flash su determinati siti affidabili. Ecco perché:
Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone inseriscono nella whitelist, quindi non hanno bisogno di un clic aggiuntivo ogni volta che vogliono guardare un video Dailymotion. Ma l'inserimento nella whitelist del sito consentirebbe il caricamento di tutto il contenuto Flash, inclusi gli annunci potenzialmente dannosi. L'uso del click-to-play e il semplice clic sul video player principale per caricarlo avrebbe impedito questo attacco: il click-to-play ti consente di caricare solo elementi Flash specifici su una pagina, riducendo la tua vulnerabilità.
Il click-to-play non è una panacea, poiché alcuni annunci vengono pubblicati all'interno di lettori video. Sì, potresti essere potenzialmente sfruttato da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio, si tratta di minimizzare il rischio il più possibile.
Utilizza Chrome, Chromium o Opera per Flash Sandbox
RELAZIONATO: Perché i plug-in del browser stanno scomparendo e cosa li sostituisce
I plug-in del browser come Flash non sono mai stati creati per essere "sandbox" per la sicurezza, il che implica eseguirli in un ambiente a bassa autorizzazione in modo che gli attacchi che violano Flash non abbiano accesso all'intero computer.
Google ha alleviato un po 'questo problema con il sistema di plug-in "PPAPI" (o "Pepper API") utilizzato in Google Chrome e il browser Chromium open source che costituisce la base di Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione è sostituire completamente i plug-in .
Il recente bollettino sulla sicurezza di Adobe note: "Siamo a conoscenza di rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti". Chrome è evidentemente non menzionato, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce una sicurezza aggiuntiva. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, poiché questo non è protetto da ogni problema, ma Chrome è probabilmente il browser più sicuro in cui utilizzare Flash.
Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito Web di Adobe . Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.
Mantieni aggiornato Flash automaticamente
Assicurati di mantenere aggiornato il plug-in Flash. Questo non ti proteggerà dai 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste falle di sicurezza saranno corrette, riceverai l'aggiornamento.
Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash in modalità sandbox (PPAPI) con Chrome. si aggiornerà automaticamente insieme al browser web Chrome, quindi non dovrai nemmeno pensarci.
Se utilizzi Internet Explorer su Windows 8 o Windows 8.1, Microsoft include anche una versione del plug-in Flash con IE. Riceverai aggiornamenti per Flash per IE da Windows Update insieme agli altri tuoi aggiornamenti di sicurezza.
Se utilizzi un browser diverso: Firefox, Opera o Chromium su qualsiasi versione di Windows; o anche Internet Explorer su Windows 7 o versioni precedenti: dovrai utilizzare il programma di aggiornamento integrato di Flash. Flash consiglia di abilitare gli aggiornamenti automatici quando lo si installa, ma è necessario verificare che gli aggiornamenti automatici siano effettivamente abilitati sul computer.
Su Windows, troverai questa opzione in Flash Player nel pannello di controllo. Apri il pannello di controllo e cerca "Flash" per trovare il collegamento, oppure fai clic sulla categoria Sistema e sicurezza e scorri fino in fondo. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.
Utilizzare un browser o un profilo di browser diverso per Flash
Anziché disinstallare completamente Flash o dipendere esclusivamente dal click-to-play, è possibile utilizzare un profilo del browser separato con Flash abilitato e aprirlo solo quando è necessario Flash.
Ad esempio, se utilizzi Firefox la maggior parte del tempo, potresti disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash integrato) quando devi utilizzare contenuti Flash. Oppure puoi creare un "profilo" separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Ciò isolerebbe Flash in un'area separata dal browser principale.
I plug-in del browser sono pericolosi: in realtà, i plug-in e l'architettura dei plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo , ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in di cui hai probabilmente bisogno è Flash e il Web dipende sempre meno da esso ogni giorno che passa.
