AdobeFlashは 再び攻撃を受けている 、さらに別の「 0日 」—パッチが利用可能になる前に悪用されている新しいセキュリティホール。将来の問題から身を守る方法は次のとおりです。
悪意のあるWebサイト(またはサードパーティの広告ネットワークからの悪意のある広告があるWebサイト)は、これらのバグの1つを悪用して、コンピューターを危険にさらす可能性があります。
Click-to-Playを有効にする(またはFlashを完全にアンインストールする)
関連: すべてのWebブラウザでClick-to-Playプラグインを有効にする方法
これらの問題を回避するために、理論的にはFlashをアンインストールできます。 YouTubeでさえ、最新のFlashを完全にダンプすることで、必要なものはますます少なくなっています。 HTML5 最新のWebブラウザのビデオ。最悪のシナリオでは、Flashを必要とするある種のビデオサイトに出くわしたとき、いつでもスマートフォンやタブレットを取り出してモバイルサイトを使用できます。これらはFlashなしで構築されています。
ただし、Flashが必要な場合があり、ほとんどの人がFlashを完全にアンインストールすることはお勧めできません。 Flashをインストールしたい場合、そしておそらく悲しいことに、インストールしたい場合は、 クリックして再生できるようにする あなたが利用できる最良のオプションです。これにより、Webサイトが必要なすべてのFlashコンテンツをロードできなくなります。サイトにアクセスするときは、プレースホルダーアイコンをクリックするだけで、ビデオなどの特定のFlash要素を読み込むことができます。 Flashは自動的に実行されないため、Webサイトにアクセスするだけで感染する「ドライブバイ」攻撃からユーザーを保護します。
ただし、ウェブサイトをホワイトリストに登録しないでください。
関連: 「ゼロデイ」エクスプロイトとは何ですか。また、どのようにして自分自身を保護できますか?
Click-to-Playホワイトリストを使用しないでください。これにより、特定の信頼できるサイトにFlashコンテンツを自動的に読み込むことができます。理由は次のとおりです。
最近の攻撃は、人気のある動画サイトであるDailymotionの広告で発見されました。これは、人々がホワイトリストに登録する種類のサイトであるため、Dailymotionビデオを視聴するたびに追加のクリックを行う必要はありません。ただし、サイトをホワイトリストに登録すると、悪意のある可能性のある広告を含め、すべてのFlashコンテンツを読み込むことができます。 Click-to-Playを使用し、メインのビデオプレーヤーをクリックしてロードするだけで、この攻撃を防ぐことができます。Click-to-Playを使用すると、ページ上の特定のFlash要素のみをロードできるため、脆弱性が軽減されます。
一部の広告は動画プレーヤー内に配信されるため、クリックして再生することは万能薬ではありません。はい、ある種のゼロデイ脆弱性を使用して、そこから悪用される可能性があります。しかし、それはすべてのリスクを回避することではなく、リスクを可能な限り最小限に抑えることです。
フラッシュサンドボックスにはChrome、Chromium、またはOperaを使用してください
関連: ブラウザプラグインが廃止される理由とそれらを置き換えるもの
Flashのようなブラウザプラグインは、セキュリティのために「サンドボックス化」されることはありませんでした。これには、Flashをクラックする攻撃がコンピュータ全体にアクセスできないように、低許可環境で実行することが含まれます。
Googleは、Google Chromeで使用されている「PPAPI」(または「PepperAPI」)プラグインシステムと、Chromeの基盤となるオープンソースのChromiumブラウズを使用して、この問題を少し軽減しました。 PPAPIは、脆弱性からユーザーを保護するのに役立つ追加のサンドボックスを提供します。しかし、本当の解決策は プラグインを完全に置き換える 。
アドビからの最近のセキュリティ情報 注:「この脆弱性は、Windows8.1以下でInternetExplorerおよびFirefoxを実行しているシステムに対するドライブバイダウンロード攻撃を介して、実際に悪用されているという報告を認識しています。」 Chromeについては、PPAPIシステムが追加のセキュリティを提供していることが原因である可能性があります。 Chromeユーザーは、すべての問題から保護されているわけではないため、誤った安心感を持ってはなりません。ただし、ChromeはおそらくFlashを使用するのに最も安全なブラウザです。
ChromeにはFlashプラグインが含まれていますが、ChromiumまたはOpera用のPPAPIプラグインをダウンロードすることもできます。 アドビのウェブサイトから 。 ChromiumはChromeとOperaの両方の基盤を形成するため、3つのブラウザはFlashに対して同じセキュリティ機能を提供する必要があります。
Flashを自動的に更新します
Flashプラグインを最新の状態に保つようにしてください。これは、定義上、パッチがリリースされていないゼロデイ攻撃からユーザーを保護するものではありませんが、コンピューター上のFlashプラグインを保護するための重要な部分です。これらのセキュリティホールにパッチが適用されると、アップデートが提供されます。
これを行うにはいくつかの方法があります。 Google Chromeを使用している場合、GoogleにはChromeにサンドボックス(PPAPI)Flashプラグインが含まれています。 Chromeウェブブラウザとともに自動的に更新されるため、考える必要もありません。
Windows8またはWindows8.1でInternetExplorerを使用する場合、MicrosoftにはIEを備えたバージョンのFlashプラグインも含まれています。 Flash forIEのアップデートを Windows Update 他のセキュリティアップデートと一緒に。
別のブラウザ(Firefox、Opera、または任意のバージョンのWindows上のChromium)を使用している場合。または、Windows7以前のInternetExplorerでも、Flashの組み込みアップデーターを使用する必要があります。 Flashは、インストール時に自動更新を有効にすることをお勧めしますが、コンピューターで自動更新が実際に有効になっていることを確認する必要があります。
Windowsでは、このオプションはコントロールパネルのFlashPlayerの下にあります。コントロールパネルを開き、「フラッシュ」を検索してショートカットを見つけるか、[システムとセキュリティ]カテゴリをクリックして一番下までスクロールします。 「FlashPlayer」アイコンをクリックし、「詳細設定」タブをクリックして、自動更新が有効になっていることを確認します。
Flashに別のブラウザまたはブラウザプロファイルを使用する
Flashを完全にアンインストールしたり、クリックして再生するだけに依存したりするのではなく、Flashが有効になっている別のブラウザプロファイルを使用して、Flashが必要な場合にのみ開くことができます。
たとえば、Firefoxをほとんどの場合使用している場合は、Flash自体をアンインストールしてGoogleChromeをインストールできます。 Flashコンテンツを使用する必要がある場合は、Google Chrome(Flashプレーヤーが組み込まれています)を起動します。または、ブラウザ自体に別の「プロファイル」(Chromeのユーザーアカウント)を作成し、メインプロファイルでのみFlashを無効にして、セカンダリプロファイルでFlashを有効のままにすることもできます。これにより、メインブラウザから離れた別の領域にFlashが分離されます。
ブラウザプラグインは危険です。実際、プラグインとその基盤となるプラグインアーキテクチャ自体は、セキュリティを考慮して設計されていません。 Javaは最悪です 、しかしFlashでさえ終わりのない問題の流れがあります。幸いなことに、必要になる可能性のあるプラグインはFlashだけであり、Webは日を追うごとにFlashへの依存度が低くなっています。
