Adobe Flash este atacat încă o dată , cu încă un „ 0-zi ”- o nouă gaură de securitate fiind exploatată înainte de a exista chiar și un patch disponibil. Iată cum să vă protejați de problemele viitoare.
Un site web rău intenționat - sau un site web cu o reclamă rău intenționată dintr-o rețea publicitară terță parte - ar putea abuza de una dintre aceste erori pentru a vă compromite computerul.
Activați clic-pentru-redare (sau dezinstalați complet Flash)
LEGATE DE: Cum se activează pluginurile Click-to-Play din fiecare browser web
Teoretic, ai putea dezinstala Flash pentru a evita aceste probleme. Este nevoie din ce în ce mai puțin, chiar și YouTube aruncă Flash complet pentru modern HTML5 video în browsere web moderne. În cel mai rău caz, când vă dați peste un fel de site video care necesită Flash, puteți întotdeauna să scoateți smartphone-ul sau tableta și să utilizați site-ul mobil - acestea sunt construite fără Flash.
Dar, uneori, aveți nevoie de Flash și nu putem recomanda ca majoritatea oamenilor să îl dezinstaleze complet. Dacă doriți ca Flash să fie instalat - și probabil, din păcate - activând clic-pentru-redare este cea mai bună opțiune disponibilă pentru dvs. Acest lucru împiedică site-urile web să încarce tot conținutul Flash dorit. Când vizitați un site, puteți face clic pe pictograma substituent pentru a încărca un anumit element Flash - cum ar fi videoclipul. Flash nu va rula automat, protejându-vă de atacurile „drive-by” în care sunteți infectat pur și simplu de la accesarea unui site web.
Dar nu faceți pe lista albă niciun site web!
LEGATE DE: Ce este un exploatare „Zero-Day” și cum vă puteți proteja?
Nu ar trebui să utilizați lista albă clic-pentru-redare, care vă permite să încărcați automat conținut Flash pe anumite site-uri de încredere. Iata de ce:
Recentul atac a fost descoperit în reclame de pe Dailymotion, un popular site video. Acesta este genul de site pe care oamenii l-ar fi introdus pe lista albă, astfel încât să nu aibă nevoie de un clic suplimentar de fiecare dată când vor să vizioneze un videoclip Dailymotion. Însă lista albă a site-ului ar permite încărcarea întregului conținut Flash, inclusiv acele reclame potențial rău intenționate. Folosind clic-pentru-redare și doar făcând clic pe playerul video principal pentru a-l încărca ar fi împiedicat acest atac - clic-pentru-redare vă permite să încărcați doar elemente Flash specifice pe o pagină, reducându-vă vulnerabilitatea.
Click-to-play nu este un panaceu, deoarece unele reclame sunt livrate în playere video. Da, ați putea fi exploatat de acolo folosind un fel de vulnerabilitate zero-day. Dar nu este vorba de evitarea fiecărui risc - este vorba de minimizarea riscului pe cât posibil.
Utilizați Chrome, Chromium sau Opera pentru Sandbox-ul Flash
LEGATE DE: De ce plug-in-urile browser-ului se îndepărtează și ce le înlocuiește
Plugin-urile pentru browser, cum ar fi Flash, nu au fost niciodată făcute pentru a fi „izolate” pentru securitate, ceea ce implică executarea acestora într-un mediu cu permisiuni reduse, astfel încât atacurile care sparg Flash nu vor avea acces la întregul computer.
Google a atenuat puțin această problemă cu sistemul de plug-in „PPAPI” (sau „Pepper API”) utilizat în Google Chrome și navigarea Chromium open-source care stă la baza Chrome. PPAPI oferă sandboxing suplimentar, care vă poate ajuta să vă protejați de vulnerabilități. Dar soluția reală este înlocuind complet pluginurile .
Recentul buletin de securitate de la Adobe note: „Suntem conștienți de rapoarte conform cărora această vulnerabilitate este exploatată în mod activ în natură prin atacuri drive-by-download împotriva sistemelor care rulează Internet Explorer și Firefox pe Windows 8.1 și versiuni ulterioare.” Chrome nu este menționat în mod vizibil, ceea ce s-ar putea datora faptului că sistemul PPAPI oferă securitate suplimentară. Utilizatorii Chrome nu ar trebui să aibă un fals sentiment de securitate, deoarece acest lucru nu este protejat împotriva oricărei probleme - dar Chrome este probabil cel mai sigur browser în care folosește Flash.
Chrome include un plug-in Flash, dar puteți descărca și plug-in-ul PPAPI pentru Chromium sau Opera de pe site-ul Adobe . Chromium reprezintă baza atât pentru Chrome, cât și pentru Opera, astfel încât cele trei browsere ar trebui să ofere aceleași caracteristici de securitate pentru Flash.
Păstrați Flash actualizat automat
Asigurați-vă că vă actualizați pluginul Flash. Acest lucru nu vă va proteja de 0 zile - care nu au un patch lansat, prin definiție -, dar este o parte critică a securizării plug-in-ului Flash de pe computer. Când aceste găuri de securitate sunt reparate, veți primi actualizarea.
Există mai multe modalități de a face acest lucru. Dacă utilizați Google Chrome, Google include pluginul Flash sandbox (PPAPI) cu Chrome. se va actualiza automat împreună cu browserul web Chrome, astfel încât nici măcar nu trebuie să vă gândiți la asta.
Dacă utilizați Internet Explorer pe Windows 8 sau Windows 8.1, Microsoft include și o versiune a pluginului Flash cu IE. Veți primi actualizări pentru Flash pentru IE de la Windows Update împreună cu celelalte actualizări de securitate.
Dacă utilizați un browser diferit - Firefox, Opera sau Chromium pe orice versiune de Windows; sau chiar Internet Explorer pe Windows 7 sau o versiune anterioară - va trebui să utilizați actualizatorul încorporat Flash. Flash vă recomandă să activați actualizările automate atunci când îl instalați, dar ar trebui să vă asigurați că actualizările automate sunt de fapt activate pe computer.
Pe Windows, veți găsi această opțiune în Flash Player din Panoul de control. Deschideți Panoul de control și căutați „Flash” pentru a găsi comanda rapidă sau faceți clic pe categoria Sistem și securitate și derulați în jos până la partea de jos. Faceți clic pe pictograma „Flash Player”, faceți clic pe fila Avansat și asigurați-vă că actualizările automate sunt activate.
Utilizați un browser diferit sau un profil de browser pentru Flash
În loc să dezinstalați complet Flash sau să depindeți doar de clic-pentru-redare, puteți utiliza un profil de browser separat care are Flash activat și îl puteți deschide numai atunci când aveți nevoie de Flash.
De exemplu, dacă utilizați Firefox de cele mai multe ori, puteți dezinstala Flash în sine și instalați Google Chrome. Lansați Google Chrome (care vine cu un player Flash încorporat) atunci când trebuie să utilizați conținut Flash. Sau, puteți crea un „profil” separat (cont de utilizator în Chrome) în browserul propriu-zis și să dezactivați Flash numai în profilul dvs. principal, lăsând Flash activat în profilul secundar. Acest lucru ar izola Flash într-o zonă separată, departe de browserul principal.
Plug-in-urile pentru browser sunt periculoase - într-adevăr, plug-in-urile și arhitectura plug-in-ului care stau la baza ei însăși nu au fost concepute doar pentru siguranță. Java este cel mai rău din grup , dar chiar și Flash are un flux nesfârșit de probleme. Vestea bună este că singurul plug-in de care probabil aveți nevoie este Flash, iar web-ul depinde mai puțin de el în fiecare zi.
