Как защитить себя от всех этих дыр в системе безопасности Adobe Flash 0-Day

Концепция безопасности: блокировка на цифровом экране, иллюстрация



Adobe Flash - это снова под атакой , с еще одним 0-дневный - новая дыра в безопасности используется еще до того, как будет выпущен патч. Вот как защитить себя от будущих проблем.

Вредоносный веб-сайт - или веб-сайт с вредоносной рекламой из сторонней рекламной сети - может использовать одну из этих ошибок для компрометации вашего компьютера.





Включить воспроизведение по нажатию (или полностью удалить Flash)

СВЯЗАННЫЙ: Как включить плагины для воспроизведения по щелчку в каждом веб-браузере

Теоретически вы можете удалить Flash, чтобы избежать этих проблем. Его нужно все меньше и меньше, и даже YouTube полностью избавляется от Flash для современных HTML5 видео в современных веб-браузерах. В худшем случае, когда вы наткнетесь на какой-то видеосайт, который требует Flash, вы всегда можете просто вынуть свой смартфон или планшет и использовать мобильный сайт - они созданы без Flash.



Но иногда вам нужен Flash, и мы не рекомендуем большинству людей полностью его удалять. Если вы действительно хотите, чтобы Flash был установлен - а вы, к сожалению, так и хотите - включение воспроизведения по нажатию это лучший вариант, доступный вам. Это предотвращает загрузку веб-сайтами всего необходимого Flash-содержимого. Когда вы посещаете сайт, вы можете просто щелкнуть значок заполнителя, чтобы загрузить определенный элемент Flash, например видео. Flash не запускается автоматически, защищая вас от атак drive-by, когда вы заражаетесь просто при посещении веб-сайта.

Но не заносите какие-либо сайты в белый список!

СВЯЗАННЫЙ: Что такое эксплойт «нулевого дня» и как защитить себя?



Не используйте белый список, воспроизводимый по клику, который позволяет автоматически загружать Flash-контент на определенные надежные сайты. Вот почему:

Реклама

Недавняя атака была обнаружена в рекламе популярного видеосайта Dailymotion. Это тот тип сайтов, который пользователи могут занести в белый список, чтобы им не нужно было нажимать каждый раз, когда они захотят посмотреть видео Dailymotion. Но занесение сайта в белый список позволит загружать весь Flash-контент, включая потенциально вредоносную рекламу. Использование воспроизведения по щелчку и простой щелчок по основному проигрывателю для его загрузки предотвратит эту атаку - воспроизведение по щелчку позволяет загружать только определенные элементы Flash на странице, что снижает вашу уязвимость.

Воспроизведение по клику - не панацея, поскольку некоторые объявления показываются внутри видеопроигрывателей. Да, вы потенциально можете подвергнуться эксплуатации с помощью какой-то уязвимости нулевого дня. Но дело не в том, чтобы избегать всех рисков, а в том, чтобы минимизировать их в максимально возможной степени.

Используйте Chrome, Chromium или Opera для Flash Sandbox

СВЯЗАННЫЙ: Почему подключаемые модули браузера уходят и что их заменяет

Надстройки браузера, такие как Flash, никогда не создавались изолированными в целях безопасности, что предполагает их запуск в среде с низким уровнем разрешений, чтобы атаки, которые взламывали Flash, не могли получить доступ ко всему вашему компьютеру.

Google немного облегчил эту проблему с помощью системы подключаемых модулей PPAPI (или Pepper API), используемой в Google Chrome, и браузера Chromium с открытым исходным кодом, который составляет основу Chrome. PPAPI предоставляет дополнительную песочницу, которая может помочь защитить вас от уязвимостей. Но настоящее решение полная замена плагинов .

Последний бюллетень по безопасности от Adobe Примечания: Нам известны сообщения о том, что эта уязвимость активно используется в «дикой природе» с помощью атак методом «диск за загрузкой» на системы, работающие под управлением Internet Explorer и Firefox в Windows 8.1 и более ранних версиях. Очевидно, что Chrome не упоминается, что может быть связано с тем, что система PPAPI обеспечивает дополнительную безопасность. У пользователей Chrome не должно быть ложного чувства безопасности, поскольку это не защищает от всех проблем, но Chrome, вероятно, является самым безопасным браузером для использования Flash.

Chrome включает подключаемый модуль Flash, но вы также можете загрузить подключаемый модуль PPAPI для Chromium или Opera. с веб-сайта Adobe . Chromium составляет основу как Chrome, так и Opera, поэтому три браузера должны предлагать одинаковые функции безопасности для Flash.

Автоматически обновлять Flash

Обязательно обновляйте ваш плагин Flash. Это не защитит вас от нулевых дней, для которых по определению не выпущен патч, но это критически важная часть защиты подключаемого модуля Flash на вашем компьютере. Когда эти дыры в безопасности будут устранены, вы получите обновление.

Реклама

Есть несколько способов сделать это. Если вы используете Google Chrome, Google включает в себя плагин Flash для песочницы (PPAPI) с Chrome. он будет автоматически обновляться вместе с веб-браузером Chrome, так что вам даже не придется об этом думать.

Если вы используете Internet Explorer в Windows 8 или Windows 8.1, Microsoft также включает версию плагина Flash с IE. Вы будете получать обновления Flash для IE от Центр обновления Windows вместе с другими обновлениями безопасности.

Если вы используете другой браузер - Firefox, Opera или Chromium в любой версии Windows; или даже Internet Explorer в Windows 7 или более ранней версии - вам потребуется встроенное средство обновления Flash. Flash рекомендует включить автоматические обновления при установке, но вы должны убедиться, что автоматические обновления действительно включены на вашем компьютере.

В Windows вы найдете эту опцию в Flash Player на панели управления. Откройте панель управления и найдите Flash, чтобы найти ярлык, или щелкните категорию «Система и безопасность» и прокрутите вниз. Щелкните значок Flash Player, перейдите на вкладку «Дополнительно» и убедитесь, что автоматические обновления включены.

Используйте другой браузер или профиль браузера для Flash

Вместо того, чтобы полностью удалять Flash или полагаться исключительно на воспроизведение по щелчку, вы можете использовать отдельный профиль браузера, в котором включен Flash, и открывать его только тогда, когда вам нужен Flash.

Реклама

Например, если вы большую часть времени используете Firefox, вы можете удалить сам Flash и установить Google Chrome. Запустите Google Chrome (который поставляется со встроенным Flash-плеером), когда вам нужно использовать Flash-контент. Или вы можете создать отдельный профиль (учетную запись пользователя в Chrome) в самом браузере и отключить Flash только в своем основном профиле, оставив Flash включенным во вторичном профиле. Это изолировало бы Flash в отдельной области от вашего основного браузера.


Плагины браузера опасны - на самом деле плагины и сама архитектура плагинов просто не были разработаны с учетом требований безопасности. Java - худший из всех , но даже у Flash есть нескончаемый поток проблем. Хорошая новость заключается в том, что единственный плагин, который вам, вероятно, понадобится, - это Flash, и Интернет с каждым днем ​​все меньше зависит от него.

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ Фотография профиля Криса Хоффмана Крис Хоффман
Крис Хоффман - главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года вел обозреватель PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на таких телеканалах, как NBC 6 в Майами, и его работа освещалась такими новостными агентствами, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз - и это только здесь, в How-To Geek.
Прочитать полную биографию

Интересные статьи