Adobe Flash снова подвергается атаке, с еще одним «0-дневным» – новая дыра в безопасности, используемая еще до того, как появится патч. Вот как можно защитить себя от будущих проблем.
Вредоносный веб-сайт – или веб-сайт с вредоносной рекламой из сторонней рекламной сети – может использовать одну из этих ошибок для компрометации вашего компьютера.
Включить воспроизведение по клику (или полностью удалить Flash)
Вы можете теоретически удалить Flash, чтобы избежать этих проблем. Это требуется все меньше и меньше, даже если YouTube полностью выгружает Flash для современного видео HTML5 в современных веб-браузерах. В худшем случае, когда вы наткнетесь на какой-то видео-сайт, который требует Flash, вы всегда можете просто достать свой смартфон или планшет и использовать мобильный сайт – они созданы без Flash.
Но иногда вам нужна Flash, и мы не можем рекомендовать большинству пользователей полностью ее удалить. Если вы хотите, чтобы Flash был установлен – и, к сожалению, вы, вероятно, делаете это, – включение функции воспроизведения по клику – это лучший доступный вариант. Это не позволяет веб-сайтам загружать все содержимое Flash, которое они хотят. Когда вы посещаете сайт, вы можете просто щелкнуть значок заполнителя, чтобы загрузить определенный элемент Flash, например видео. Flash не запустится автоматически, защищая вас от атак «на ходу», когда вы заражаетесь, просто посещая веб-сайт.
Но не вносите в белый список какие-либо сайты!
Вам не следует использовать белый список “кликни для воспроизведения”, который позволяет автоматически загружать флэш-контент на определенные доверенные сайты. Вот почему:
Недавняя атака была обнаружена в рекламе на Dailymotion, популярном видео-сайте. Это тот тип сайтов, которые люди помещают в белый список, чтобы им не требовался дополнительный клик каждый раз, когда они хотят посмотреть видео Dailymotion. Но внесение в белый список сайта позволит загружать весь Flash-контент, включая потенциально вредоносную рекламу. Использование функции «нажми и работай» и простым щелчком основного видеоплеера для его загрузки предотвратило бы эту атаку – щелчок по воспроизведению позволяет загружать на страницу только определенные элементы Flash, снижая тем самым уязвимость.
Воспроизведение по клику не является панацеей, так как некоторые объявления размещаются внутри видеоплееров. Да, вы можете быть потенциально использованы оттуда, используя какую-то уязвимость нулевого дня. Но дело не в том, чтобы избежать любого риска, а в том, чтобы свести к минимуму риск.
Используйте Chrome, Chromium или Opera для Flash Sandbox
Плагины браузера, такие как Flash, никогда не создавались как «песочница» для обеспечения безопасности, что подразумевает запуск их в среде с низким разрешением, чтобы атаки, которые взломали Flash, не получили доступ ко всему вашему компьютеру.
Google немного разрешил эту проблему с помощью системы плагинов «PPAPI» (или «Pepper API»), используемой в Google Chrome, и браузера Chromium с открытым исходным кодом, который служит основой для Chrome. PPAPI предоставляет дополнительную изолированную программную среду, которая может защитить вас от уязвимостей. Но реальным решением является полная замена плагинов.
В недавнем бюллетене по безопасности от Adobe отмечается: «Нам известны сообщения о том, что эта уязвимость активно используется в естественных условиях посредством атак с диска на загрузку против систем, работающих под управлением Internet Explorer и Firefox в Windows 8.1 и ниже». Chrome явно не упоминается Это может быть связано с тем, что система PPAPI обеспечивает дополнительную безопасность. У пользователей Chrome не должно быть ложного чувства безопасности, поскольку это не защищает от всех проблем, но Chrome, вероятно, самый безопасный браузер для использования Flash.
Chrome включает в себя плагин Flash, но вы также можете скачать плагин PPAPI для Chromium или Opera с веб-сайта Adobe. Chromium является основой как для Chrome, так и для Opera, поэтому три браузера должны предлагать одинаковые функции безопасности для Flash.
Keep Flash обновляется автоматически
Убедитесь, что ваш плагин Flash обновлен. Это не защитит вас от 0 дней – у которых по определению не выпущен патч – но это важная часть защиты плагина Flash на вашем компьютере. Когда эти дыры в безопасности будут исправлены, вы получите обновление.
Есть несколько способов сделать это. Если вы используете Google Chrome, Google включает в себя подключаемый модуль Flash (PPAPI) с Chrome. он будет автоматически обновляться вместе с веб-браузером Chrome, поэтому вам даже не придется об этом думать.
Если вы используете Internet Explorer в Windows 8 или Windows 8.1, Microsoft также включает версию подключаемого модуля Flash с IE. Вы будете получать обновления для Flash для IE из Центра обновления Windows вместе с другими обновлениями безопасности.
Если вы используете другой браузер – Firefox, Opera или Chromium в любой версии Windows; или даже Internet Explorer в Windows 7 или более ранней версии – вам нужно будет использовать встроенный модуль обновления Flash. Flash рекомендует включать автоматические обновления при установке, но вы должны убедиться, что автоматические обновления действительно включены на вашем компьютере.
В Windows вы найдете эту опцию в разделе Flash Player на панели управления. Откройте панель управления и найдите «Flash», чтобы найти ярлык, или щелкните категорию «Система и безопасность» и прокрутите страницу вниз. Щелкните значок «Flash Player», перейдите на вкладку «Дополнительно» и убедитесь, что автоматические обновления включены.
Используйте другой браузер или профиль браузера для Flash
Вместо того, чтобы полностью удалять Flash или зависеть исключительно от воспроизведения по клику, вы можете использовать отдельный профиль браузера с включенной Flash и открывать его только тогда, когда вам нужна Flash.
Например, если вы используете Firefox большую часть времени, вы можете удалить саму Flash и установить Google Chrome. Запустите Google Chrome (который поставляется со встроенным Flash-плеером), когда вам нужно использовать Flash-контент. Или вы можете создать отдельный «профиль» (учетную запись пользователя в Chrome) в самом браузере и отключить Flash только в своем основном профиле, оставив Flash включенным в дополнительном профиле. Это изолировало бы Flash в отдельной области от вашего основного браузера.
Плагины для браузера опасны – на самом деле, плагины и сама архитектура подключаемых модулей просто не были разработаны с учетом безопасности. Java – худшая из множества вещей, но даже у Flash есть бесконечные проблемы. Хорошая новость заключается в том, что единственный плагин, который вам, вероятно, понадобится, – это Flash, и сеть с каждым днем все меньше зависит от него.
