Homepage » come » Come proteggersi da tutti questi buchi di sicurezza 0 giorni di Adobe Flash

    Come proteggersi da tutti questi buchi di sicurezza 0 giorni di Adobe Flash

    Adobe Flash è ancora sotto attacco, con ancora un altro "0-day" - un nuovo buco di sicurezza che viene sfruttato prima che sia disponibile anche una patch. Ecco come proteggersi dai problemi futuri.

    Un sito Web dannoso o un sito Web con pubblicità dannosa da una rete pubblicitaria di terze parti potrebbero abusare di uno di questi bug per compromettere il tuo computer.

    Attiva Click-to-Play (o Disinstalla Flash Interamente)

    Teoricamente potresti disinstallare Flash per evitare questi problemi. È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni video HTML5 nei moderni browser web. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre estrarre lo smartphone o il tablet e utilizzare il sito per dispositivi mobili: quelli creati senza Flash.

    Ma a volte hai bisogno di Flash e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash - e probabilmente lo fai, purtroppo - abilitare click-to-play è l'opzione migliore a tua disposizione. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona segnaposto per caricare un elemento Flash specifico, ad esempio il video. Flash non verrà eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui ti infetti semplicemente visitando un sito web.

    Ma non inserire nella whitelist nessun sito web!

    Non si dovrebbe utilizzare la whitelist click-to-play, che consente di caricare automaticamente il contenuto Flash su determinati siti attendibili. Ecco perché:

    Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che la gente potrebbe autorizzare in modo che non avrebbero bisogno di un clic aggiuntivo ogni volta che volevano guardare un video Dailymotion. Tuttavia, la whitelist del sito consentiva il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo di click-to-play e il semplice clic sul lettore video principale per caricarlo avrebbe impedito che questo attacco - click-to-play consentisse di caricare solo elementi Flash specifici su una pagina, riducendo la vulnerabilità.

    Click-to-play non è una panacea, poiché alcuni annunci vengono pubblicati all'interno dei lettori video. Sì, si potrebbe potenzialmente sfruttare da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio - si tratta di minimizzare il rischio il più possibile.

    Utilizza Chrome, Chromium o Opera per Sandbox Flash

    I plug-in del browser come Flash non sono mai stati creati per essere "salvati in modalità sandbox" per motivi di sicurezza, il che implica il loro utilizzo in un ambiente con autorizzazioni ridotte in modo che gli attacchi che violano Flash non possano accedere all'intero computer.

    Google ha alleviato questo problema un po 'con il sistema di plug-in "PPAPI" (o "API Pepper") utilizzato in Google Chrome e la navigazione Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione sta sostituendo completamente i plug-in.

    Il recente bollettino sulla sicurezza di Adobe rileva: "Siamo a conoscenza dei rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro i sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti." Chrome non viene menzionato in modo evidente , il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, in quanto questo non è protetto da ogni problema, ma Chrome è probabilmente il browser più sicuro per utilizzare Flash in.

    Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito Web di Adobe. Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.

    Mantieni Flash aggiornato automaticamente

    Assicurati di mantenere aggiornato il tuo plug-in Flash. Questo non ti proteggerà dagli 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste patch di sicurezza vengono corrette, otterrai l'aggiornamento.

    Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash con funzionalità sandbox (PPAPI) con Chrome. verrà aggiornato automaticamente insieme al browser web di Chrome in modo da non dover nemmeno pensarci.

    Se utilizzi Internet Explorer su Windows 8 o Windows 8.1, Microsoft include anche una versione del plug-in Flash con IE. Riceverai aggiornamenti per Flash for IE da Windows Update insieme agli altri aggiornamenti di sicurezza.

    Se si utilizza un browser diverso - Firefox, Opera o Chromium su qualsiasi versione di Windows; o persino Internet Explorer su Windows 7 o versioni precedenti - sarà necessario utilizzare il programma di aggiornamento integrato di Flash. Flash ti consiglia di abilitare gli aggiornamenti automatici quando lo installi, ma devi assicurarti che gli aggiornamenti automatici siano effettivamente abilitati sul tuo computer.

    Su Windows, troverai questa opzione sotto Flash Player nel Pannello di controllo. Aprire il Pannello di controllo e cercare "Flash" per trovare il collegamento, oppure fare clic sulla categoria Sistema e sicurezza e scorrere verso il basso. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.

    Utilizza un browser o un profilo browser diverso per Flash

    Anziché disinstallare completamente Flash o dipendere esclusivamente da click-to-play, puoi utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando hai bisogno di Flash.

    Ad esempio, se si utilizza Firefox per la maggior parte del tempo, è possibile disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash incorporato) quando è necessario utilizzare il contenuto Flash. Oppure, puoi creare un "profilo" separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Ciò isolerebbe Flash in un'area separata dal tuo browser principale.


    I plug-in del browser sono pericolosi - in realtà, i plug-in e l'architettura plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore, ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in che è probabilmente necessario è Flash e il Web dipende da esso meno ogni giorno che passa.