como se proteger de todas essas falhas de segurança adobe flash 0-day

Adobe Flash está sob ataque mais uma vez, com mais um “0-day” – uma nova falha de segurança a ser explorado antes que haja mesmo um patch disponível. Veja como se proteger de problemas futuros.

Um site malicioso – ou um site com um anúncio malicioso de uma rede de anúncios de terceiros – pode abusar um desses erros de comprometer seu computador.

Você poderia, teoricamente, desinstalar o Flash para evitar esses problemas. É necessário cada vez menos, mesmo com YouTube despejar o Flash completamente para vídeo HTML5 moderno em navegadores modernos. Em um cenário de pior caso, quando você tropeçar em algum tipo de site de vídeo que requer Flash, você sempre pode apenas retirar seu smartphone ou tablet e usar o site móvel – aqueles que são construídos sem flash.

Mas às vezes você precisa do Flash, e não podemos recomendar a maioria das pessoas desinstalá-lo completamente. Se você quiser que o Flash instalado – e você provavelmente fazer, infelizmente – permitindo clique-to-play é a melhor opção disponível para você. Isso impede que sites de carregar todo o conteúdo em Flash que eles querem. Quando você visita um site, você pode simplesmente clicar no ícone de espaço reservado para carregar um elemento em Flash específica – como o vídeo. O flash não será executado automaticamente, protegendo-o de “drive-by” ataques onde ficam infectadas simplesmente a partir de uma visita a um site.

Você não deve usar o whitelist click-to-play, que permite carregar automaticamente o conteúdo do Flash em determinados sites confiáveis. Aqui está o porquê

O ataque recente foi descoberto em anúncios no Dailymotion, um site de vídeo popular. Este é o tipo de site que as pessoas iriam whitelist de modo que não seria necessário um adicional de clique cada vez que queria assistir a um vídeo Dailymotion. Mas whitelisting o site permitirá que todo o conteúdo do Flash para carregar, incluindo aqueles anúncios potencialmente maliciosos. Usando click-to-play e apenas clicando no player de vídeo principal para carregá-lo teria impedido esse ataque – clique-to-play permite que você só para carregar elementos Flash específicos em uma página, reduzindo a sua vulnerabilidade.

Click-to-play não é uma panaceia, como alguns anúncios são entregues dentro de players de vídeo. Sim, você pode potencialmente ser explorada a partir daí usando algum tipo de vulnerabilidade zero-day. Mas não é sobre como evitar todos os riscos – é sobre a minimização do risco, tanto quanto possível.

Plug-ins como o Flash não foram feitas para serem “modo seguro” para a segurança, que envolve a executá-los em um ambiente de baixa permissão para que os ataques que o crack o Flash não terá acesso a todo o seu computador.

Google aliviou este problema um pouco com o “PPAPI” (ou “Pepper API”) sistema plug-in usado no Google Chrome e de navegação Chromium open-source que forma a base para o Chrome. PPAPI fornece sandboxing adicional, que pode ajudar a proteger contra vulnerabilidades. Mas a verdadeira solução está substituindo os plug-ins inteiramente.

A recente boletim de segurança da Adobe observa: “Estamos cientes de relatórios que esta vulnerabilidade está sendo explorada ativamente na natureza através de ataques drive-by-download contra os sistemas que executam o Internet Explorer e Firefox no Windows 8.1 e abaixo.” Chrome visivelmente não é mencionado , que pode ser porque o sistema PPAPI proporciona segurança adicional. os usuários do Chrome não deve ter uma falsa sensação de segurança, pois isso não tem protegido contra todos os problemas – mas o Chrome é provavelmente o navegador mais seguro para usar o Flash no.

Chrome inclui um plug-in Flash, mas você também pode fazer o download do plug-in PPAPI para Chromium ou Opera a partir do site da Adobe. Chromium constitui a base tanto para Chrome e Opera, de modo que os três navegadores devem oferecer os mesmos recursos de segurança para o Flash.

Certifique-se de manter o seu Flash plug-in atualizado. Isso não vai protegê-lo dos 0-dia – que não têm um patch lançado, por definição – mas é uma parte crítica de garantir o plug-in do Flash no seu computador. Quando essas falhas de segurança são corrigidos, você poderá obter a atualização.

Existem várias maneiras de fazer isso. Se você usa o Google Chrome, o Google inclui a área restrita (PPAPI) plug-in Flash com Chrome. ele irá atualizar automaticamente junto com o navegador Chrome para que você não tem sequer a pensar nisso.

Se você usa o Internet Explorer no Windows 8 ou Windows 8.1, a Microsoft inclui uma versão do plug-in Flash com o IE, também. Você receberá atualizações para o Flash para o IE a partir do Windows Update, juntamente com suas outras atualizações de segurança.

Se você usar um navegador diferente – Firefox, Opera ou Chromium em qualquer versão do Windows, ou mesmo o Internet Explorer no Windows 7 ou mais cedo – você vai precisar usar atualizador built-in flash. Flash recomenda que você habilitar as atualizações automáticas quando você instalá-lo, mas você deve verificar para garantir que as actualizações automáticas estão realmente habilitado no seu computador.

No Windows, você vai encontrar esta opção no Flash Player no Painel de Controle. Abra o Painel de Controle e procure por “Flash” para encontrar o atalho, ou clique na categoria Sistema e Segurança e role para baixo para o fundo. Clique no ícone “Flash Player”, clique na guia Avançado e garantir atualizações automáticas estão ativadas.

Em vez de desinstalar o Flash total ou dependendo unicamente click-to-play, você poderia usar um perfil do navegador separada que tem o Flash instalado e abri-lo somente quando você precisa do Flash.

Por exemplo, se você usar o Firefox maior parte do tempo, você pode desinstalar o Flash em si e instalar o Google Chrome. Inicie o Google Chrome (que vem com um player embutido Flash) quando você precisa usar o conteúdo em Flash. Ou, você pode criar um “perfil” separado (conta de usuário no Chrome) no próprio navegador e desativar o flash apenas em seu perfil principal, deixando o Flash instalado no perfil secundário. Este seria isolar o Flash em uma área separada longe do seu navegador principal.

Plug-ins são perigosos – realmente, os plug-ins e da própria arquitetura de plug-in subjacente simplesmente não foi projetado com segurança em mente. Java é a pior do grupo, mas mesmo Flash tem um fluxo interminável de problemas. A boa notícia é que o único plug-in que você necessidade provável é Flash, ea web depende-se menos com cada dia que passa.

Fácil: parar de usar Flash.Use HTML5.Same para o site desenv.

Eu acho que uma alternativa melhor do que ter um outro navegador web é executar o seu navegador em um ambiente sandbox como Sandboxie. Executando um navegador separado ainda vai colocá-lo em risco ligeiro onde o risco Sandbox termina quando você fechar o navegador, mas mesmo isso não é 100% para alguns maleware. Mas ainda assim o seu melhor tiro.

Se o seu navegador principal é Firefox, a melhor defesa contra este tipo de problema é um ótimo add-on chamado NoScript que – por padrão – blocos de todas as atividades relacionadas Flash e Java em um site, a menos e até que sejam autorizados pelo usuário.

Algumas pessoas reclamam que NoScript é complicado e requer muita configuração e ajustes – mas para um geek “de nível médio”, como eu – é bastante simples de usar e fornece uma excelente camada de proteção.

Além disso, o desenvolvedor mantém um fluxo regular de atualizações para se manter atualizado e garantir o add-on fornece proteção.

Eu recomendo-lo.

Obrigado pela informação.

Adobe Flash é feito apenas de falhas de segurança.

dublê famoso Evel Knievel quebrou 35 ossos ao longo de sua carreira e passou mais de 36 meses hospitalizadas como resultado de seus ferimentos.