19Jul
Adobe Flash è ancora sotto attacco, con ancora un altro "0-day" - un nuovo buco di sicurezza sfruttato prima che sia disponibile anche una patch. Ecco come proteggersi dai problemi futuri.
Un sito Web dannoso o un sito Web con pubblicità dannosa proveniente da una rete pubblicitaria di terze parti potrebbe abusare di uno di questi bug per compromettere il computer.
Abilita Click-to-Play( o Disinstalla Flash Interamente)
In teoria è possibile disinstallare Flash per evitare questi problemi.È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni video HTML5 nei moderni browser web. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre estrarre lo smartphone o il tablet e utilizzare il sito per dispositivi mobili, ovvero quelli creati senza Flash.
Ma a volte hai bisogno di Flash, e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash, e probabilmente lo fai, purtroppo, abilitare click-to-play è l'opzione migliore a tua disposizione. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona segnaposto per caricare un elemento Flash specifico, ad esempio il video. Flash non verrà eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui ti infetti semplicemente visitando un sito web.
, ma non autorizzare nessun sito web!
Non si dovrebbe utilizzare la whitelist click-to-play, che consente di caricare automaticamente il contenuto Flash su determinati siti attendibili. Ecco perché:
Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone potrebbero fare da lista bianca in modo che non avrebbero bisogno di un clic aggiuntivo ogni volta che volevano guardare un video di Dailymotion. Tuttavia, la whitelist del sito consentiva il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo di click-to-play e il semplice clic sul lettore video principale per caricarlo avrebbe impedito che questo attacco - click-to-play consentisse di caricare solo elementi Flash specifici su una pagina, riducendo la vulnerabilità.
Click-to-play non è una panacea, poiché alcuni annunci vengono pubblicati all'interno dei lettori video. Sì, si potrebbe potenzialmente sfruttare da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio - si tratta di ridurre al minimo il rischio il più possibile.
Utilizza Chrome, Chromium o Opera per la sandbox Flash
I plug-in del browser come Flash non sono mai stati creati per essere "sandboxed" per la sicurezza, il che implica l'esecuzione in un ambiente con autorizzazioni ridotte in modo che gli attacchi che si bloccano Flash non venganoaccesso al tuo intero computer.
Google ha alleviato questo problema un po 'con il sistema plug-in "PPAPI"( o "Pepper API") utilizzato in Google Chrome e la navigazione Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità.Ma la vera soluzione sta sostituendo completamente i plug-in.
Il recente bollettino sulla sicurezza di Adobe rileva: "Siamo a conoscenza dei rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni successive." Chrome non è evidentementemenzionato, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, in quanto questo non è protetto da ogni problema, ma Chrome è probabilmente il browser più sicuro per utilizzare Flash.
Chrome include un plug-in Flash, ma puoi anche scaricare il PPAPIplug-in per Chromium o Opera dal sito Web di Adobe. Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.
Mantieni Flash aggiornato automaticamente
Assicurati di mantenere aggiornato il tuo plug-in Flash. Questo non ti proteggerà dagli 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste patch di sicurezza vengono corrette, otterrai l'aggiornamento.
Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash con funzionalità sandbox( PPAPI) con Chrome.verrà aggiornato automaticamente insieme al browser web di Chrome in modo da non dover nemmeno pensarci.
Se si utilizza Internet Explorer su Windows 8 o Windows 8.1, Microsoft include anche una versione del plug-in Flash con IE.Riceverai aggiornamenti per Flash for IE da Windows Update insieme agli altri aggiornamenti di sicurezza.
Se si utilizza un browser diverso - Firefox, Opera o Chromium su qualsiasi versione di Windows;o persino Internet Explorer su Windows 7 o versioni precedenti - sarà necessario utilizzare il programma di aggiornamento integrato di Flash. Flash ti consiglia di abilitare gli aggiornamenti automatici quando lo installi, ma devi assicurarti che gli aggiornamenti automatici siano effettivamente abilitati sul tuo computer.
Su Windows, questa opzione è disponibile in Flash Player nel Pannello di controllo. Apri il pannello di controllo e cerca "Flash" per trovare il collegamento, oppure fai clic su Sistema &Categoria di sicurezza e scorrere verso il basso. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.
Utilizzare un browser o un profilo browser diverso per Flash
Anziché disinstallare completamente Flash o dipendere esclusivamente da click-to-play, è possibile utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando è necessario Flash.
Ad esempio, se si utilizza Firefox per la maggior parte del tempo, è possibile disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome( che viene fornito con un lettore Flash incorporato) quando è necessario utilizzare il contenuto Flash. Oppure, puoi creare un "profilo" separato( account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Questo isolerebbe Flash in un'area separata dal tuo browser principale. I plug-in del browser
sono pericolosi - in realtà, i plug-in e l'architettura plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo, ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in che è probabilmente necessario è Flash e il Web dipende da esso meno ogni giorno che passa.