Adobe Flash jest ponownie atakowany, a kolejne "0 dni" - nowa luka w zabezpieczeniach jest wykorzystywana, zanim dostępna będzie nawet łatka. Oto, jak chronić się przed przyszłymi problemami.
Złośliwa strona internetowa - lub witryna z złośliwą reklamą z sieci reklamowej innej firmy - może nadużyć jednego z tych błędów w celu złamania zabezpieczeń komputera.
Możesz teoretycznie odinstalować Flasha, aby uniknąć tych problemów. Jest coraz mniej potrzebna, a nawet najnowszy Flash HTML w najnowszym przeglądzie HTML. W najgorszym przypadku, gdy natkniesz się na jakąś stronę wideo wymagającą Flasha, zawsze możesz po prostu wyciągnąć smartfona lub tablet i korzystać z witryny mobilnej - są one zbudowane bez Flasha.
Ale czasami potrzebujesz Flasha i nie możemy polecić większości osób, aby go całkowicie odinstalować. Jeśli chcesz zainstalować Flasha - i prawdopodobnie, niestety, opcja "kliknij, aby odtworzyć" jest najlepszą dostępną opcją. Zapobiega to ładowaniu wszystkich treści Flash przez witryny. Gdy odwiedzasz witrynę, możesz po prostu kliknąć ikonę symbolu zastępczego, aby załadować określony element Flash - taki jak wideo. Flash nie uruchomi się automatycznie, chroniąc Cię przed atakami "drive-by", w których zarazisz się po prostu odwiedzając stronę internetową.
Nie powinieneś używać białej listy "kliknij, aby odtworzyć", która pozwala automatycznie ładować zawartość Flash na pewne zaufane strony. Dlatego:
Ostatni atak został wykryty w reklamach w popularnej witrynie wideo Dailymotion. Jest to rodzaj stron, które ludzie dodawaliby do białej listy, aby nie potrzebowali dodatkowego kliknięcia za każdym razem, gdy chcieli obejrzeć film Dailymotion. Jednak dodanie tej witryny do białej listy umożliwiłoby załadowanie całej treści Flash, w tym również tych potencjalnie szkodliwych. Korzystanie z funkcji "kliknij, aby odtworzyć" i kliknięcie głównego odtwarzacza wideo w celu załadowania go uniemożliwiłoby ten atak - funkcja "kliknij, aby odtworzyć" pozwala tylko załadować określone elementy Flash na stronę, co zmniejsza zagrożenie.
Funkcja "kliknij, aby odtworzyć" nie jest panaceum, ponieważ niektóre reklamy są dostarczane w odtwarzaczach wideo. Tak, możesz potencjalnie wykorzystać tę lukę, używając luki o zerowym poziomie. Ale nie chodzi o unikanie każdego ryzyka - chodzi o zminimalizowanie ryzyka w jak największym stopniu.
Wtyczki do przeglądarek, takie jak Flash, nigdy nie były "piaskowane" ze względów bezpieczeństwa, co wiąże się z uruchamianiem ich w środowisku o niskim poziomie uprawnień, aby ataki, które spowodowały flashowanie, nie uzyskały dostępu do całego komputera.
Google nieco złagodziło ten problem dzięki systemowi wtyczek "PPAPI" (lub "Pepper API") używanemu w Google Chrome i przeglądaniu Chromium z otwartym kodem, który stanowi podstawę dla Chrome. PPAPI zapewnia dodatkowe sandboxing, które może pomóc w ochronie przed lukami w zabezpieczeniach. Ale prawdziwym rozwiązaniem jest całkowite zastąpienie wtyczek.
W najnowszym biuletynie zabezpieczeń firmy Adobe napisano: "Zdajemy sobie sprawę z doniesień o tym, że luka ta jest aktywnie wykorzystywana na wolności za pośrednictwem ataków typu" drive-by-download "na systemy z przeglądarką Internet Explorer i Firefox w systemie Windows 8.1 i starszym." Nie wspomniano o Chrome , co może być spowodowane tym, że system PPAPI zapewnia dodatkowe bezpieczeństwo. Użytkownicy Chrome nie powinni mieć fałszywego poczucia bezpieczeństwa, ponieważ nie chroni to przed wszystkimi problemami - ale Chrome jest prawdopodobnie najbezpieczniejszą przeglądarką do używania Flasha.
Chrome zawiera wtyczkę Flash, ale możesz też pobrać wtyczkę PPAPI dla Chromium lub Opery ze strony Adobe. Chromium stanowi podstawę zarówno Chrome, jak i Opery, więc te trzy przeglądarki powinny oferować takie same funkcje zabezpieczeń dla Flash.
Pamiętaj o aktualizacji wtyczki Flash. To nie ochroni cię przed 0-dniami - które z definicji nie mają wydanej łatki - ale jest to kluczowy element zabezpieczenia wtyczki Flash na Twoim komputerze. Kiedy te luki w zabezpieczeniach zostaną załatane, dostaniesz aktualizację.
Jest na to kilka sposobów. Jeśli korzystasz z Google Chrome, Google udostępnia wtyczkę Flashbox (PPAPI) Flash w Chrome. będzie aktualizowany automatycznie wraz z przeglądarką Chrome, dzięki czemu nie musisz nawet o tym myśleć.
Jeśli korzystasz z przeglądarki Internet Explorer w systemie Windows 8 lub Windows 8.1, Microsoft dołącza też wersję wtyczki Flash z IE. Otrzymasz aktualizacje Flash dla IE z Windows Update wraz z innymi aktualizacjami zabezpieczeń.
Jeśli używasz innej przeglądarki - Firefox, Opera lub Chromium w dowolnej wersji systemu Windows; lub nawet Internet Explorera w systemie Windows 7 lub wcześniejszym - musisz użyć wbudowanego programu aktualizującego Flash. Program Flash zaleca włączenie automatycznych aktualizacji podczas instalacji, ale należy sprawdzić, czy na komputerze są rzeczywiście włączone automatyczne aktualizacje.
W systemie Windows ta opcja znajduje się pod Flash Playerem w Panelu sterowania. Otwórz Panel sterowania i wyszukaj "Flash", aby znaleźć skrót, lub kliknij kategorię System & Security i przewiń w dół. Kliknij ikonę "Flash Player", kliknij kartę Zaawansowane i upewnij się, że włączone są automatyczne aktualizacje.
Zamiast całkowicie odinstalowywać Flasha lub polegać wyłącznie na funkcji "kliknij, aby odtworzyć", możesz użyć osobnego profilu przeglądarki, który ma włączony Flash i otworzyć go tylko wtedy, gdy potrzebujesz Flasha.
Na przykład, jeśli używasz przeglądarki Firefox przez większość czasu, możesz odinstalować samą Flash i zainstalować Google Chrome. Uruchom Google Chrome (z wbudowanym odtwarzaczem Flash), gdy potrzebujesz używać treści Flash.Możesz też utworzyć osobny "profil" (konto użytkownika w Chrome) w samej przeglądarce i wyłączyć Flash tylko w profilu głównym, pozostawiając włączony Flash w profilu dodatkowym. To odizolowałoby Flasha w oddzielnym obszarze z dala od głównej przeglądarki.
Wtyczki przeglądarki są niebezpieczne - tak naprawdę wtyczki i sama architektura wtyczek nie zostały zaprojektowane z myślą o bezpieczeństwie. Java jest najgorsza, ale nawet Flash ma niekończący się strumień problemów. Dobrą wiadomością jest to, że jedyną wtyczką, której najprawdopodobniej potrzebujesz jest Flash, a sieć zależy od niej mniej z każdym dniem.