19Jul
Adobe Flash está sob ataque novamente, com mais um "0-dia" - um novo furo de segurança sendo explorado antes mesmo de um patch disponível. Veja como se proteger de problemas futuros.
Um site malicioso - ou um site com um anúncio malicioso de uma rede de anúncios de terceiros - pode abusar de um desses erros para comprometer o seu computador.
Habilitar Click-to-Play( ou desinstalar o Flash Completamente)
Você pode, teoricamente, desinstalar o Flash para evitar esses problemas.É necessário cada vez menos, e até mesmo o YouTube descarrega o Flash completamente para o vídeo HTML5 moderno em navegadores modernos da web. No pior dos casos, quando você tropeça em algum tipo de site de vídeo que exija o Flash, você sempre pode simplesmente retirar seu smartphone ou tablet e usar o site móvel - esses são criados sem o Flash.
Mas às vezes você precisa de Flash, e não podemos recomendar a maioria das pessoas desinstalá-lo completamente. Se você deseja que o Flash seja instalado - e você provavelmente faz, infelizmente - permitir o clique para jogar é a melhor opção disponível para você.Isso evita que sites carregem todo o conteúdo Flash que eles desejam. Quando você visita um site, você pode simplesmente clicar no ícone do espaço reservado para carregar um elemento Flash específico - como o vídeo. O Flash não será executado automaticamente, protegendo-o dos ataques de "drive-by" onde você fica infectado simplesmente visitando um site.
, mas não lista branca de sites!
Você não deve usar a lista branca de clique para jogar, que permite que você carregue automaticamente conteúdo Flash em determinados sites confiáveis.É por isso que:
O recente ataque foi descoberto em anúncios no Dailymotion, um site de vídeo popular. Este é o tipo de site que as pessoas listariam para que não precisassem de um clique adicional sempre que quisessem assistir a um vídeo do Dailymotion. Mas a listagem branca do site permitiria que todo o conteúdo do Flash fosse carregado, incluindo os anúncios potencialmente mal-intencionados. O uso do clique para jogar e apenas clicar no player de vídeo principal para carregá-lo teria impedido esse ataque. O clique para jogar permite que você carregue apenas elementos Flash específicos em uma página, reduzindo sua vulnerabilidade.
Click-to-play não é uma panaceia, pois alguns anúncios são entregues dentro dos players de vídeo. Sim, você poderia ser explorado a partir daí usando algum tipo de vulnerabilidade de dia zero. Mas não se trata de evitar todos os riscos - trata-se de minimizar o risco tanto quanto possível.
Use Chrome, Chromium ou Opera para o Flash Sandbox Os plug-ins do navegador
, como o Flash, nunca foram feitos para serem "sandboxed" para segurança, o que envolve executá-los em um ambiente de baixa permissão para que os ataques que crack não obtenhamacesso a todo o seu computador.
O Google aliviou este problema um pouco com o sistema de plug-in "PPAPI"( ou "Pepper API") usado no Google Chrome e a navegação de código aberto do Chrome que constitui a base do Chrome. O PPAPI fornece sandboxing adicional, que pode ajudar a protegê-lo de vulnerabilidades. Mas a solução real está substituindo plug-ins inteiramente.
O recente boletim de segurança das notas da Adobe: "Estamos cientes dos relatórios de que esta vulnerabilidade está sendo explorada ativamente na natureza através de ataques drive-by-download contra sistemas que executam o Internet Explorer e Firefox no Windows 8.1 e abaixo". O Chrome não é visivelmentemencionado, o que poderia ser porque o sistema PPAPI fornece segurança adicional. Os usuários do Chrome não devem ter uma falsa sensação de segurança, pois isso não foi protegido contra todos os problemas - mas o Chrome é provavelmente o navegador mais seguro para usar o Flash.
Chrome inclui um plug-in Flash, mas você também pode baixar o PPAPIplug-in para o Chromium ou o Opera a partir do site da Adobe. O Chromium constitui a base tanto para o Chrome quanto para o Opera, então os três navegadores devem oferecer os mesmos recursos de segurança para o Flash.
Mantenha o Flash atualizado automaticamente
Certifique-se de manter seu plug-in Flash atualizado. Isso não irá protegê-lo a partir dos 0 dias - que não possuem um patch liberado, por definição -, mas é uma parte crítica de proteger o plug-in Flash em seu computador. Quando esses buracos de segurança são corrigidos, você receberá a atualização.
Existem várias maneiras de fazer isso. Se você usar o Google Chrome, o Google inclui o plug-in de Flashboxbox( PPAPI) Flash com o Chrome. Ele será atualizado automaticamente junto com o navegador da web Chrome para que você nem precise pensar sobre isso.
Se você usa o Internet Explorer no Windows 8 ou no Windows 8.1, a Microsoft também inclui uma versão do plug-in Flash com o IE.Você receberá atualizações para o Flash para o IE do Windows Update, juntamente com suas outras atualizações de segurança.
Se você usa um navegador diferente - Firefox, Opera ou Chromium em qualquer versão do Windows;ou mesmo o Internet Explorer no Windows 7 ou anterior - você precisará usar o atualizador incorporado do Flash. O Flash recomenda que você ative as atualizações automáticas quando o instala, mas você deve verificar se as atualizações automáticas estão habilitadas no seu computador.
No Windows, você encontrará esta opção no Flash Player no Painel de controle. Abra o Painel de controle e procure "Flash" para encontrar o atalho, ou clique no sistema &Categoria de segurança e role para baixo até a parte inferior. Clique no ícone "Flash Player", clique na guia Avançado e assegure-se de que as atualizações automáticas estão ativadas.
Use um navegador diferente ou um perfil de navegador para o Flash
Em vez de desinstalar o Flash inteiramente ou dependendo unicamente do clique para jogar, você pode usar um perfil de navegador separado com o Flash ativado e abri-lo somente quando precisar de Flash.
Por exemplo, se você usar o Firefox na maioria das vezes, você pode desinstalar o Flash e instalar o Google Chrome. Inicie o Google Chrome( que vem com o Flash player incorporado) quando precisar usar o conteúdo do Flash. Ou, você poderia criar um "perfil" separado( conta de usuário no Chrome) no próprio navegador e desativar o Flash apenas no seu perfil principal, deixando o Flash ativado no perfil secundário. Isso isolaria o Flash em uma área separada do seu navegador principal. Os plug-ins do navegador
são perigosos - na verdade, os plug-ins e a arquitetura de plug-in subjacente propriamente dito simplesmente não foram projetados com segurança em mente. Java é o pior do grupo, mas mesmo o Flash tem um fluxo interminável de problemas. A boa notícia é que o único plug-in que você provavelmente precisa é Flash, e a web depende dele menos com cada dia que passa.