Adobe Flash jest ponownie atakowany , z jeszcze jednym „ 0-dniowy ”- nowa luka w zabezpieczeniach jest wykorzystywana, zanim pojawi się choćby łatka. Oto jak chronić się przed przyszłymi problemami.
Złośliwa witryna internetowa - lub witryna ze złośliwą reklamą pochodzącą z zewnętrznej sieci reklamowej - może wykorzystać jeden z tych błędów, aby zagrozić Twojemu komputerowi.
Włącz funkcję „kliknij, aby odtworzyć” (lub całkowicie odinstaluj Flash)
ZWIĄZANE Z: Jak włączyć wtyczki Click-to-Play w każdej przeglądarce internetowej
Teoretycznie możesz odinstalować Flasha, aby uniknąć tych problemów. Jest to potrzebne coraz mniej, a nawet YouTube całkowicie odrzuca Flash na współczesny HTML5 wideo w nowoczesnych przeglądarkach internetowych. W najgorszym przypadku, gdy natkniesz się na jakąś witrynę wideo wymagającą Flasha, zawsze możesz po prostu wyciągnąć smartfon lub tablet i skorzystać z witryny mobilnej - te są zbudowane bez Flasha.
Ale czasami potrzebujesz Flasha i nie możemy zalecić większości osób jego całkowitego odinstalowania. Jeśli chcesz zainstalować Flasha - i prawdopodobnie tak jest, niestety - włączanie funkcji „kliknij, aby odtworzyć” to najlepsza dostępna opcja. Zapobiega to ładowaniu przez strony internetowe całej żądanej zawartości Flash. Kiedy odwiedzasz witrynę, możesz po prostu kliknąć ikonę symbolu zastępczego, aby załadować określony element Flash - na przykład wideo. Flash nie uruchomi się automatycznie, chroniąc Cię przed atakami typu „drive-by”, podczas których zarazisz się po prostu odwiedzając witrynę internetową.
Ale nie umieszczaj na białej liście żadnych witryn internetowych!
ZWIĄZANE Z: Co to jest exploit „dnia zerowego” i jak można się chronić?
Nie należy używać białej listy „kliknij, aby odtworzyć”, która umożliwia automatyczne ładowanie zawartości Flash na niektórych zaufanych witrynach. Dlatego:
Niedawny atak wykryto w reklamach w popularnej witrynie wideo Dailymotion. To rodzaj witryn, które ludzie umieszczają na białej liście, aby nie potrzebować dodatkowego kliknięcia za każdym razem, gdy chcą obejrzeć film Dailymotion. Jednak umieszczenie witryny na białej liście umożliwiłoby załadowanie całej zawartości Flash, w tym potencjalnie złośliwych reklam. Korzystanie z funkcji „kliknij, aby odtworzyć” i po prostu kliknięcie głównego odtwarzacza wideo, aby go załadować, zapobiegłoby temu atakowi - funkcja „kliknij, aby odtworzyć” umożliwia załadowanie tylko określonych elementów Flash na stronie, zmniejszając twoją lukę w zabezpieczeniach.
Odtwarzanie typu „kliknij, aby odtworzyć” nie jest panaceum, ponieważ niektóre reklamy są wyświetlane w odtwarzaczach wideo. Tak, możesz zostać stamtąd wykorzystany przy użyciu jakiejś luki typu zero-day. Ale nie chodzi o unikanie każdego ryzyka - chodzi o maksymalne zminimalizowanie ryzyka.
Użyj przeglądarki Chrome, Chromium lub Opera dla Flash Sandbox
ZWIĄZANE Z: Dlaczego wtyczki do przeglądarek znikają i co je zastępuje
Wtyczki do przeglądarek, takie jak Flash, nigdy nie były przeznaczone do „piaskownicy” ze względów bezpieczeństwa, co wiąże się z uruchamianiem ich w środowisku o niskich uprawnieniach, aby ataki, które złamały Flasha, nie miały dostępu do całego komputera.
Google nieco złagodził ten problem dzięki systemowi wtyczek „PPAPI” (lub „Pepper API”) używanym w przeglądarce Google Chrome oraz przeglądaniu Chromium typu open source, które stanowi podstawę przeglądarki Chrome. PPAPI zapewnia dodatkową piaskownicę, która może pomóc w ochronie przed lukami w zabezpieczeniach. Ale prawdziwym rozwiązaniem jest całkowite zastąpienie wtyczek .
Najnowszy biuletyn zabezpieczeń firmy Adobe uwagi: „Jesteśmy świadomi doniesień, że luka ta jest aktywnie wykorzystywana w środowisku naturalnym poprzez ataki drive-by-download na systemy z przeglądarkami Internet Explorer i Firefox w systemie Windows 8.1 i starszym”. Widocznie nie wspomniano o przeglądarce Chrome, co może wynikać z faktu, że system PPAPI zapewnia dodatkowe zabezpieczenia. Użytkownicy Chrome nie powinni mieć fałszywego poczucia bezpieczeństwa, ponieważ nie chroni to przed każdym problemem - ale Chrome jest prawdopodobnie najbezpieczniejszą przeglądarką do korzystania z Flasha.
Chrome zawiera wtyczkę Flash, ale możesz też pobrać wtyczkę PPAPI dla Chromium lub Opera z serwisu Adobe . Chromium stanowi podstawę zarówno Chrome, jak i Opera, więc te trzy przeglądarki powinny oferować te same funkcje bezpieczeństwa dla Flasha.
Aktualizuj Flash automatycznie
Pamiętaj, aby aktualizować wtyczkę Flash. To nie uchroni Cię przed zerowymi dniami - które z definicji nie mają wypuszczonej łatki - ale jest to kluczowy element zabezpieczenia wtyczki Flash na Twoim komputerze. Kiedy te luki w zabezpieczeniach zostaną załatane, otrzymasz aktualizację.
Można to zrobić na kilka sposobów. Jeśli używasz przeglądarki Google Chrome, Google dołącza wtyczkę Flash w trybie piaskownicy (PPAPI) do przeglądarki Chrome. będzie aktualizować się automatycznie wraz z przeglądarką internetową Chrome, więc nie musisz nawet o tym myśleć.
Jeśli używasz przeglądarki Internet Explorer w systemie Windows 8 lub Windows 8.1, firma Microsoft dołącza również wersję wtyczki Flash do przeglądarki IE. Będziesz otrzymywać aktualizacje Flash dla IE od Aktualizacja systemu Windows wraz z innymi aktualizacjami zabezpieczeń.
Jeśli używasz innej przeglądarki - Firefox, Opera lub Chromium w dowolnej wersji systemu Windows; a nawet Internet Explorer w systemie Windows 7 lub starszym - musisz użyć wbudowanego aktualizatora Flash. Flash zaleca włączenie automatycznych aktualizacji podczas instalacji, ale należy sprawdzić, czy automatyczne aktualizacje są rzeczywiście włączone na komputerze.
W systemie Windows opcję tę znajdziesz w programie Flash Player w Panelu sterowania. Otwórz Panel sterowania i wyszukaj „Flash”, aby znaleźć skrót, lub kliknij kategorię System i zabezpieczenia i przewiń w dół. Kliknij ikonę „Flash Player”, kliknij kartę Zaawansowane i upewnij się, że automatyczne aktualizacje są włączone.
Użyj innej przeglądarki lub profilu przeglądarki dla Flasha
Zamiast całkowicie odinstalowywać Flasha lub polegać wyłącznie na funkcji „kliknij, aby odtworzyć”, możesz użyć osobnego profilu przeglądarki z włączoną funkcją Flash i otwierać go tylko wtedy, gdy potrzebujesz Flasha.
Na przykład, jeśli używasz przeglądarki Firefox przez większość czasu, możesz odinstalować sam Flash i zainstalować Google Chrome. Uruchom przeglądarkę Google Chrome (która jest dostarczana z wbudowanym odtwarzaczem Flash), gdy potrzebujesz użyć treści Flash. Możesz też utworzyć osobny „profil” (konto użytkownika w Chrome) w samej przeglądarce i wyłączyć Flash tylko w głównym profilu, pozostawiając Flash włączony w profilu pomocniczym. Spowoduje to odizolowanie Flasha w oddzielnym obszarze z dala od głównej przeglądarki.
Wtyczki do przeglądarek są niebezpieczne - tak naprawdę, same wtyczki i ich architektura nie zostały zaprojektowane z myślą o bezpieczeństwie. Java jest najgorsza ze wszystkich , ale nawet Flash ma niekończący się strumień problemów. Dobra wiadomość jest taka, że jedyną wtyczką, której prawdopodobnie potrzebujesz, jest Flash, a internet zależy od niego z każdym dniem.
