Adobe Flash er under angreb endnu en gang, med endnu en "0-dag" - et nyt sikkerhedshul, der udnyttes, før der endda er en patch tilgængelig. Sådan beskytter du dig mod fremtidige problemer.
Et ondsindet websted - eller et websted med en ondsindet reklame fra et tredjeparts annoncenetværk - kan misbruge en af disse fejl for at kompromittere din computer.
Aktivér Click-to-Play (eller afinstaller Flash helt)
RELATEREDE: Sådan aktiveres Click-to-Play-plugins i enhver webbrowser
Du kan teoretisk afinstallere Flash for at undgådisse problemer. Det er nødvendigt mindre og mindre, med endda YouTube dumping Flash helt til moderne HTML5 video i moderne webbrowsere. I værste fald, når du snubler over en slags videoside, der kræver Flash, kan du altid bare trække din smartphone eller tablet ud og bruge mobilsiden - disse er bygget uden Flash.
Men nogle gange har du brug for Flash, og det kan vi ikkeanbefaler de fleste at afinstallere det helt. Hvis du vil have Flash installeret - og det gør du sikkert, desværre - at aktivere click-to-play er den bedste mulighed, der er tilgængelig for dig. Dette forhindrer websteder i at indlæse alt det Flash-indhold, de ønsker. Når du besøger et sted, kan du bare klikke på ikonet for pladsholder for at indlæse et specifikt Flash-element - f.eks. Videoen. Flash kører ikke automatisk og beskytter dig mod "drive-by" -angreb, hvor du bliver inficeret blot fra at besøge et websted.
Men ikke hvidliste over websteder!
RELATEREDE: Hvad er en "nul-dages" udnyttelse, og hvordan kan du beskytte dig selv?
Du skal ikke bruge whitelisten fra klik-til-spil, som giver dig mulighed for automatisk at indlæse Flash-indhold på visse betroede websteder. Her er hvorfor:
Det nylige angreb blev opdaget i annoncer påDailymotion, et populært videoside. Dette er den type websted, folk ville hvidliste, så de ikke behøver et ekstra klik hver gang de ville se en Dailymotion-video. Men hvidlisting af webstedet tillader, at alt Flash-indhold indlæses, inklusive de potentielt ondsindede annoncer. Brug af click-to-play og bare at klikke på hovedvideoafspilleren for at indlæse det ville have forhindret dette angreb - click-to-play giver dig kun mulighed for at indlæse specifikke Flash-elementer på en side, hvilket reducerer din sårbarhed.
Click-to-play er ikke et universalmiddel, som nogle annoncer erleveres inden i videospillere. Ja, du kan potentielt blive udnyttet derfra ved hjælp af en slags nul-dages sårbarhed. Men det handler ikke om at undgå enhver risiko - det handler om at minimere risikoen så meget som muligt.
Brug Chrome, Chromium eller Opera til Flash Sandbox
RELATEREDE: Hvorfor browser-plug-ins går væk, og hvad erstatter dem
Browser-plug-ins som Flash blev aldrig gjort til at være det"Sandkasse" af sikkerhed, hvilket indebærer at køre dem i et miljø med lav tilladelse, så angreb, der knækker Flash, ikke får adgang til hele din computer.
Google har afhjulpet dette problem lidt med“PPAPI” (eller “Pepper API”) plug-in-system, der bruges i Google Chrome og open source Chromium-browseren, der danner grundlaget for Chrome. PPAPI leverer yderligere sandkasse, som kan hjælpe med at beskytte dig mod sårbarheder. Men den rigtige løsning erstatter plug-ins helt.
Den nylige sikkerhedsbulletin fra Adobe-noter: ”Vi er opmærksomme på rapporter om, at denne sårbarhed udnyttes aktivt i naturen via drive-by-download-angreb mod systemer, der kører Internet Explorer og Firefox i Windows 8.1 og nedenfor.” Chrome nævnes ikke iøjnefaldende, hvilket kan skyldes, at PPAPI-systemet giver ekstra sikkerhed. Chrome-brugere bør ikke have en falsk følelse af sikkerhed, da dette ikke har beskyttet mod ethvert problem - men Chrome er sandsynligvis den sikreste browser til at bruge Flash i.
Chrome inkluderer et Flash-plug-in, men du kan ogsådownload PPAPI-plug-in til Chromium eller Opera fra Adobes websted. Chrom danner grundlaget for både Chrome og Opera, så de tre browsere skal tilbyde de samme sikkerhedsfunktioner til Flash.
Hold Flash opdateret automatisk
Sørg for at holde dit Flash-plug-in opdateret. Dette vil ikke beskytte dig mod 0-dage - som ikke defineres en patch pr. Definition - men det er en kritisk del af at sikre Flash-plug-in på din computer. Når disse sikkerhedshuller er lappet, får du opdateringen.
Der er flere måder at gøre dette på. Hvis du bruger Google Chrome, inkluderer Google sandboxed (PPAPI) Flash plug-in med Chrome. det opdateres automatisk sammen med Chrome webbrowser, så du ikke engang behøver at tænke over det.
Hvis du bruger Internet Explorer i Windows 8 ellerWindows 8.1, Microsoft inkluderer også en version af Flash-plug-in'en med IE. Du vil modtage opdateringer til Flash til IE fra Windows Update sammen med dine andre sikkerhedsopdateringer.
Hvis du bruger en anden browser - Firefox, Opera,eller Chromium på enhver version af Windows; eller endda Internet Explorer på Windows 7 eller tidligere - du skal bruge Flashs indbyggede opdaterer. Flash anbefaler, at du aktiverer automatiske opdateringer, når du installerer den, men du skal kontrollere, at automatiske opdateringer faktisk er aktiveret på din computer.
På Windows finder du denne mulighed under FlashAfspiller i kontrolpanelet. Åbn kontrolpanelet, og søg efter “Flash” for at finde genvejen, eller klik på kategorien System & sikkerhed og rulle ned til bunden. Klik på ikonet "Flash Player", klik på fanen Avanceret, og sørg for, at automatiske opdateringer er aktiveret.
Brug en anden browser eller browserprofil til Flash
I stedet for at afinstallere Flash helt eller afhængigt af klik-til-afspilning, kan du bruge en separat browserprofil, der har Flash aktiveret og kun åbne den, når du har brug for Flash.
Hvis du f.eks. Bruger Firefox det meste af tiden,du kan afinstallere Flash selv og installere Google Chrome. Start Google Chrome (som leveres med en indbygget Flash-afspiller), når du skal bruge Flash-indhold. Eller du kan oprette en separat "profil" (brugerkonto i Chrome) i selve browseren og kun deaktivere Flash i din hovedprofil, hvorefter Flash er aktiveret i den sekundære profil. Dette ville isolere Flash i et separat område væk fra din hovedbrowser.
Browser-plug-ins er farlige - virkeligplug-ins og den underliggende plug-in-arkitektur i sig selv var ikke designet med sikkerhed i tankerne. Java er den værste af flokken, men selv Flash har en uendelig strøm af problemer. Den gode nyhed er, at det eneste plug-in, du sandsynligvis har brug for, er Flash, og nettet afhænger mindre af det med hver dag, der går.
