Come proteggersi da tutte queste falle di sicurezza di Adobe Flash 0-Day

Concetto di sicurezza: blocco sullo schermo digitale, illustrazione



Adobe Flash è sotto attacco ancora una volta , con un altro 0 giorni — una nuova falla di sicurezza viene sfruttata prima ancora che sia disponibile una patch. Ecco come proteggersi da problemi futuri.

Un sito Web dannoso, o un sito Web con un annuncio pubblicitario dannoso proveniente da una rete pubblicitaria di terze parti, potrebbe abusare di uno di questi bug per compromettere il tuo computer.





Abilita Click-to-Play (o disinstalla completamente Flash)

IMPARENTATO: Come abilitare i plug-in Click-to-Play in ogni browser Web

Potresti teoricamente disinstallare Flash per evitare questi problemi. È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni HTML5 video nei browser Web moderni. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre semplicemente estrarre il tuo smartphone o tablet e utilizzare il sito mobile: quelli sono creati senza Flash.



Ma a volte hai bisogno di Flash e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash - e probabilmente lo fai, purtroppo - abilitazione click-to-play è la migliore opzione disponibile per te. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash desiderati. Quando visiti un sito, puoi semplicemente fare clic sull'icona del segnaposto per caricare un elemento Flash specifico, come il video. Flash non verrà eseguito automaticamente, proteggendoti da attacchi drive-by in cui vieni infettato semplicemente visitando un sito web.

Ma non inserire nella whitelist alcun sito Web!

IMPARENTATO: Che cos'è un exploit 'Zero-Day' e come puoi proteggerti?



Non dovresti utilizzare la whitelist click-to-play, che ti consente di caricare automaticamente i contenuti Flash su determinati siti attendibili. Ecco perché:

Annuncio pubblicitario

Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone dovrebbero inserire nella whitelist in modo da non aver bisogno di un clic aggiuntivo ogni volta che vogliono guardare un video Dailymotion. Ma l'inserimento nella whitelist del sito consentirebbe il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo del click-to-play e il semplice clic sul video player principale per caricarlo avrebbe impedito questo attacco: il click-to-play ti consente di caricare solo elementi Flash specifici su una pagina, riducendo la tua vulnerabilità.

Click-to-play non è una panacea, poiché alcuni annunci vengono pubblicati all'interno di lettori video. Sì, potresti essere potenzialmente sfruttato da lì usando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio: si tratta di ridurre al minimo il rischio il più possibile.

Usa Chrome, Chromium o Opera per Flash Sandbox

IMPARENTATO: Perché i plug-in del browser stanno scomparendo e cosa li sta sostituendo

I plug-in del browser come Flash non sono mai stati creati per essere sottoposti a sandbox per motivi di sicurezza, il che implica l'esecuzione in un ambiente a bassa autorizzazione in modo che gli attacchi che violano Flash non abbiano accesso all'intero computer.

Google ha alleviato un po' questo problema con il sistema di plug-in PPAPI (o Pepper API) utilizzato in Google Chrome e il browser Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione è sostituire completamente i plug-in .

Il recente bollettino sulla sicurezza di Adobe note: Siamo a conoscenza di segnalazioni secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti. Chrome è vistosamente non menzionato, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, poiché questo non ha protetto da ogni problema, ma Chrome è probabilmente il browser più sicuro in cui utilizzare Flash.

Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito web di Adobe . Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.

Mantieni Flash aggiornato automaticamente

Assicurati di mantenere aggiornato il plug-in Flash. Questo non ti proteggerà dagli 0-day - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste falle di sicurezza vengono riparate, riceverai l'aggiornamento.

Annuncio pubblicitario

Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash in modalità sandbox (PPAPI) con Chrome. si aggiornerà automaticamente insieme al browser web Chrome in modo che tu non debba nemmeno pensarci.

Se utilizzi Internet Explorer su Windows 8 o Windows 8.1, Microsoft include anche una versione del plug-in Flash con IE. Riceverai aggiornamenti per Flash per IE da aggiornamento Windows insieme agli altri aggiornamenti di sicurezza.

Se utilizzi un browser diverso: Firefox, Opera o Chromium su qualsiasi versione di Windows; o anche Internet Explorer su Windows 7 o versioni precedenti: dovrai utilizzare il programma di aggiornamento integrato di Flash. Flash consiglia di abilitare gli aggiornamenti automatici quando lo si installa, ma è necessario verificare che gli aggiornamenti automatici siano effettivamente abilitati sul computer.

Su Windows, troverai questa opzione in Flash Player nel Pannello di controllo. Apri il Pannello di controllo e cerca Flash per trovare il collegamento, oppure fai clic sulla categoria Sistema e sicurezza e scorri verso il basso. Fare clic sull'icona di Flash Player, fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.

Usa un browser diverso o un profilo del browser per Flash

Piuttosto che disinstallare completamente Flash o dipendere esclusivamente dal click-to-play, puoi utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando hai bisogno di Flash.

Annuncio pubblicitario

Ad esempio, se utilizzi Firefox per la maggior parte del tempo, potresti disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash integrato) quando è necessario utilizzare contenuti Flash. Oppure puoi creare un profilo separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Ciò isolerebbe Flash in un'area separata dal browser principale.


I plug-in del browser sono pericolosi: in realtà, i plug-in e l'architettura del plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo , ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in di cui hai probabilmente bisogno è Flash, e il web ne dipende sempre meno ogni giorno che passa.

LEGGI SUCCESSIVO Foto del profilo di Chris Hoffman Chris Hoffman
Chris Hoffman è caporedattore di How-To Geek. Ha scritto di tecnologia per oltre un decennio ed è stato editorialista di PCWorld per due anni. Chris ha scritto per il New York Times, è stato intervistato come esperto di tecnologia su stazioni TV come la NBC 6 di Miami e ha avuto il suo lavoro coperto da organi di informazione come la BBC. Dal 2011, Chris ha scritto oltre 2.000 articoli che sono stati letti quasi un miliardo di volte --- e questo è solo qui su How-To Geek.
Leggi la biografia completa

Articoli Interessanti