Adobe Flash er under angrep enda en gang , med enda en “ 0-dagers ”- et nytt sikkerhetshull blir utnyttet før det til og med er en oppdatering tilgjengelig. Slik beskytter du deg mot fremtidige problemer.
Et ondsinnet nettsted - eller et nettsted med en ondsinnet annonse fra et tredjeparts annonsenettverk - kan misbruke en av disse feilene for å kompromittere datamaskinen din.
Aktiver Click-to-Play (eller avinstaller Flash helt)
I SLEKT: Slik aktiverer du Click-to-Play-plugins i hver nettleser
Du kan teoretisk avinstallere Flash for å unngå disse problemene. Det trengs mindre og mindre, med til og med YouTube-dumping av Flash helt for moderne HTML5 video i moderne nettlesere. I verste fall når du snubler på et slags videoside som krever Flash, kan du alltid bare trekke ut smarttelefonen eller nettbrettet og bruke mobilnettstedet - de er bygget uten Flash.
Men noen ganger trenger du Flash, og vi kan ikke anbefale folk flest å avinstallere det helt. Hvis du vil ha Flash installert - og sannsynligvis, dessverre - muliggjør klikk-for-avspilling er det beste alternativet tilgjengelig for deg. Dette forhindrer nettsteder å laste inn alt Flash-innholdet de ønsker. Når du besøker et nettsted, kan du bare klikke på plassholderikonet for å laste inn et bestemt Flash-element - for eksempel videoen. Flash kjører ikke automatisk, og beskytter deg mot "drive-by" -angrep der du blir smittet bare fra å besøke et nettsted.
Men ikke hvitlist noen nettsteder!
I SLEKT: Hva er en "Zero-Day" utnyttelse, og hvordan kan du beskytte deg selv?
Du bør ikke bruke klikk-for-å-spille-hvitelisten, som lar deg laste Flash-innhold automatisk på bestemte pålitelige nettsteder. Her er hvorfor:
Det siste angrepet ble oppdaget i annonser på Dailymotion, et populært videoside. Dette er den typen nettsteder folk vil hviteliste, slik at de ikke trenger et ekstra klikk hver gang de vil se en Dailymotion-video. Men å godkjenne nettstedet vil tillate at alt Flash-innhold lastes inn, inkludert de potensielt ondsinnede annonsene. Ved å bruke klikk for å spille og bare klikke på hovedvideospilleren for å laste det ville det forhindret dette angrepet - klikk for å spille lar deg bare laste inn spesifikke Flash-elementer på en side, og redusere sårbarheten din.
Klikk og spill er ikke et universalmiddel, siden noen annonser leveres i videospillere. Ja, du kan potensielt utnyttes derfra ved hjelp av en slags null-dagers sårbarhet. Men det handler ikke om å unngå enhver risiko - det handler om å minimere risikoen så mye som mulig.
Bruk Chrome, Chromium eller Opera for Flash Sandbox
I SLEKT: Hvorfor nettleser-plugin-moduler forsvinner og hva som erstatter dem
Nettleser-plugin-moduler som Flash ble aldri laget for å "sandkasseres" for sikkerhet, noe som innebærer å kjøre dem i et miljø med lav tillatelse, slik at angrep som knekker Flash ikke får tilgang til hele datamaskinen din.
Google har lettet dette problemet litt med "PPAPI" (eller "Pepper API") plugin-systemet som brukes i Google Chrome og åpen kildekode Chromium-surfing som danner grunnlaget for Chrome. PPAPI tilbyr ekstra sandboksing, som kan beskytte deg mot sårbarheter. Men den virkelige løsningen er erstatte plug-ins helt .
Den nylige sikkerhetsbulletinen fra Adobe bemerker: "Vi er kjent med rapporter om at dette sikkerhetsproblemet blir utnyttet aktivt i naturen via drive-by-download-angrep mot systemer som kjører Internet Explorer og Firefox i Windows 8.1 og nyere." Chrome nevnes ikke påfallende, noe som kan være fordi PPAPI-systemet gir ekstra sikkerhet. Chrome-brukere bør ikke ha en falsk følelse av sikkerhet, da dette ikke har beskyttet mot alle problemer - men Chrome er sannsynligvis den sikreste nettleseren å bruke Flash i.
Chrome inkluderer en Flash-plugin, men du kan også laste ned PPAPI-plugin-modulen for Chromium eller Opera fra Adobes nettsted . Chromium danner grunnlaget for både Chrome og Opera, så de tre nettleserne bør tilby de samme sikkerhetsfunksjonene for Flash.
Hold Flash oppdatert automatisk
Sørg for å holde Flash-programtillegget oppdatert. Dette vil ikke beskytte deg mot 0-dager - som per definisjon ikke har utgitt en oppdatering - men det er en viktig del av å sikre Flash-plugin-modulen på datamaskinen din. Når disse sikkerhetshullene er lappet, får du oppdateringen.
Det er flere måter å gjøre dette på. Hvis du bruker Google Chrome, inkluderer Google sandkasse (PPAPI) Flash-plugin-modulen med Chrome. den oppdateres automatisk sammen med Chrome-nettleseren, slik at du ikke engang trenger å tenke på det.
Hvis du bruker Internet Explorer på Windows 8 eller Windows 8.1, inkluderer Microsoft også en versjon av Flash-plugin-modulen med IE. Du mottar oppdateringer for Flash for IE fra Windows-oppdatering sammen med de andre sikkerhetsoppdateringene dine.
Hvis du bruker en annen nettleser - Firefox, Opera eller Chromium i hvilken som helst versjon av Windows; eller til og med Internet Explorer på Windows 7 eller tidligere - du må bruke Flashs innebygde oppdaterer. Flash anbefaler at du aktiverer automatiske oppdateringer når du installerer det, men du bør kontrollere at automatiske oppdateringer faktisk er aktivert på datamaskinen din.
I Windows finner du dette alternativet under Flash Player i kontrollpanelet. Åpne kontrollpanelet og søk etter "Flash" for å finne snarveien, eller klikk kategorien System og sikkerhet og bla ned til bunnen. Klikk på "Flash Player" -ikonet, klikk på kategorien Avansert og sørg for at automatiske oppdateringer er aktivert.
Bruk en annen nettleser eller nettleserprofil for Flash
I stedet for å avinstallere Flash helt eller bare avhenge av click-to-play, kan du bruke en egen nettleserprofil som har Flash aktivert og bare åpne den når du trenger Flash.
Hvis du for eksempel bruker Firefox mesteparten av tiden, kan du avinstallere Flash selv og installere Google Chrome. Start Google Chrome (som følger med en innebygd Flash-spiller) når du trenger å bruke Flash-innhold. Eller du kan opprette en egen "profil" (brukerkonto i Chrome) i selve nettleseren og deaktivere Flash bare i hovedprofilen din, slik at Flash blir aktivert i den sekundære profilen. Dette vil isolere Flash i et eget område vekk fra hovedleseren din.
Nettleser-plugin-moduler er farlige - egentlig, plug-ins og den underliggende plugin-arkitekturen i seg selv var bare ikke designet med tanke på sikkerhet. Java er den verste av gjengen , men selv Flash har en uendelig strøm av problemer. Den gode nyheten er at den eneste plugin-modulen du sannsynligvis trenger er Flash, og nettet avhenger mindre av det for hver dag som går.
