Cách bảo vệ bản thân khỏi tất cả các lỗ hổng bảo mật 0 ngày của Adobe Flash
Adobe Flash lại bị tấn công một lần nữa, với một phiên bản khác 0 ngày của - một lỗ hổng bảo mật mới được khai thác trước cả khi có một bản vá có sẵn. Đây là cách bảo vệ bản thân khỏi những vấn đề trong tương lai.
Trang web độc hại - hoặc trang web có quảng cáo độc hại từ mạng quảng cáo của bên thứ ba - có thể lạm dụng một trong những lỗi này để xâm phạm máy tính của bạn.
Kích hoạt tính năng Nhấp để phát (hoặc Gỡ cài đặt Flash hoàn toàn)
Về lý thuyết bạn có thể gỡ cài đặt Flash để tránh những vấn đề này. Nó càng ngày càng cần ít hơn, thậm chí YouTube còn bán Flash hoàn toàn cho video HTML5 hiện đại trong các trình duyệt web hiện đại. Trong trường hợp xấu nhất khi bạn vấp ngã trên một số loại trang web video yêu cầu Flash, bạn luôn có thể rút điện thoại thông minh hoặc máy tính bảng của mình ra và sử dụng trang web dành cho thiết bị di động.
Nhưng đôi khi bạn cần Flash và chúng tôi không thể khuyên hầu hết mọi người gỡ cài đặt hoàn toàn. Nếu bạn thực sự muốn cài đặt Flash - và có lẽ bạn cũng vậy, thật đáng buồn - cho phép nhấp để phát là tùy chọn tốt nhất có sẵn cho bạn. Điều này ngăn các trang web tải tất cả nội dung Flash mà họ muốn. Khi bạn truy cập một trang web, bạn chỉ cần nhấp vào biểu tượng giữ chỗ để tải một yếu tố Flash cụ thể - chẳng hạn như video. Flash sẽ không tự động chạy, bảo vệ bạn khỏi các cuộc tấn công của Drive drive by by mà bạn bị lây nhiễm chỉ đơn giản là truy cập trang web.
Nhưng đừng viết trắng bất kỳ trang web nào!
Bạn không nên sử dụng danh sách trắng nhấp để phát, cho phép bạn tự động tải nội dung Flash trên các trang web đáng tin cậy nhất định. Đây là lý do tại sao:
Vụ tấn công gần đây được phát hiện trong quảng cáo trên Dailymotion, một trang web video nổi tiếng. Đây là loại trang web mọi người sẽ đưa vào danh sách trắng vì vậy họ sẽ không cần nhấp chuột thêm mỗi lần họ muốn xem video Dailymotion. Nhưng danh sách trắng trang web sẽ cho phép tất cả nội dung Flash tải, bao gồm cả những quảng cáo độc hại tiềm ẩn. Sử dụng nhấp để phát và chỉ cần nhấp vào trình phát video chính để tải, nó sẽ ngăn chặn cuộc tấn công này - nhấp để phát cho phép bạn chỉ tải các yếu tố Flash cụ thể trên một trang, giảm lỗ hổng của bạn.
Nhấp để phát không phải là thuốc chữa bách bệnh, vì một số quảng cáo được phân phối bên trong trình phát video. Có, bạn có khả năng có thể bị khai thác từ đó bằng cách sử dụng một số lỗ hổng zero-day. Nhưng đó không phải là tránh mọi rủi ro - mà là giảm thiểu rủi ro nhiều nhất có thể.
Sử dụng Chrome, Chromium hoặc Opera cho Flash Sandbox
Các plugin của trình duyệt như Flash chưa bao giờ được tạo ra để bảo mật cho Sand, được bảo mật, bao gồm chạy chúng trong môi trường cấp phép thấp để các cuộc tấn công bẻ khóa Flash sẽ không truy cập được vào toàn bộ máy tính của bạn.
Google đã giảm bớt vấn đề này một chút với hệ thống trình cắm bổ trợ PP PPI (hoặc Pepper Pepper API) được sử dụng trong Google Chrome và trình duyệt Chromium nguồn mở tạo nền tảng cho Chrome. PPAPI cung cấp thêm hộp cát, có thể giúp bảo vệ bạn khỏi các lỗ hổng. Nhưng giải pháp thực sự là thay thế hoàn toàn các trình cắm.
Bản tin bảo mật gần đây từ Adobe ghi chú: Triệu Chúng tôi biết rằng các báo cáo rằng lỗ hổng này đang được khai thác tích cực trong tự nhiên thông qua các cuộc tấn công bằng cách tải xuống ổ đĩa chống lại các hệ thống chạy Internet Explorer và Firefox trên Windows 8.1 trở xuống. , có thể là do hệ thống PPAPI cung cấp bảo mật bổ sung. Người dùng Chrome không nên có ý thức bảo mật sai lầm, vì điều này không được bảo vệ trước mọi vấn đề - nhưng Chrome có lẽ là trình duyệt an toàn nhất để sử dụng Flash trong.
Chrome bao gồm trình cắm Flash, nhưng bạn cũng có thể tải xuống trình cắm PPAPI cho Chromium hoặc Opera từ trang web của Adobe. Chromium tạo nền tảng cho cả Chrome và Opera, vì vậy ba trình duyệt sẽ cung cấp các tính năng bảo mật giống nhau cho Flash.
Tự động cập nhật Flash
Hãy chắc chắn để cập nhật trình cắm Flash của bạn. Điều này sẽ không bảo vệ bạn khỏi 0 ngày - theo định nghĩa, không có bản vá nào được phát hành - nhưng đó là một phần quan trọng trong việc bảo mật trình cắm Flash trên máy tính của bạn. Khi các lỗ hổng bảo mật được vá, bạn sẽ nhận được bản cập nhật.
Có nhiều hướng khác nhau để làm điều đó. Nếu bạn sử dụng Google Chrome, Google sẽ bao gồm plugin Flash được đóng hộp (PPAPI) với Chrome. nó sẽ tự động cập nhật cùng với trình duyệt web Chrome để bạn thậm chí không phải suy nghĩ về nó.
Nếu bạn sử dụng Internet Explorer trên Windows 8 hoặc Windows 8.1, Microsoft cũng bao gồm một phiên bản bổ trợ Flash với IE. Bạn sẽ nhận được các bản cập nhật cho Flash cho IE từ Windows Update cùng với các bản cập nhật bảo mật khác của bạn.
Nếu bạn sử dụng một trình duyệt khác - Firefox, Opera hoặc Chromium trên bất kỳ phiên bản Windows nào; hoặc thậm chí Internet Explorer trên Windows 7 trở về trước - bạn sẽ cần sử dụng trình cập nhật tích hợp của Flash. Flash khuyên bạn nên bật cập nhật tự động khi cài đặt, nhưng bạn nên kiểm tra để đảm bảo cập nhật tự động thực sự được bật trên máy tính của bạn.
Trên Windows, bạn sẽ tìm thấy tùy chọn này trong Flash Player trong Bảng điều khiển. Mở Bảng điều khiển và tìm kiếm trong Flash Flash để tìm phím tắt hoặc nhấp vào danh mục Hệ thống & Bảo mật và cuộn xuống phía dưới. Nhấp vào biểu tượng của Flash Flash Player, nhấp vào tab Nâng cao và đảm bảo bật cập nhật tự động.
Sử dụng Trình duyệt hoặc Cấu hình Trình duyệt khác cho Flash
Thay vì gỡ cài đặt Flash hoàn toàn hoặc chỉ phụ thuộc vào nhấp để phát, bạn có thể sử dụng một cấu hình trình duyệt riêng có bật Flash và chỉ mở khi bạn cần Flash.
Ví dụ: nếu bạn sử dụng Firefox hầu hết thời gian, bạn có thể gỡ cài đặt Flash và cài đặt Google Chrome. Khởi chạy Google Chrome (đi kèm với trình phát Flash tích hợp) khi bạn cần sử dụng nội dung Flash. Hoặc, bạn có thể tạo một hồ sơ cá nhân của riêng mình (một tài khoản người dùng trong Chrome) trong trình duyệt và chỉ tắt Flash trong cấu hình chính của bạn, để Flash được bật trong cấu hình phụ. Điều này sẽ cách ly Flash ở một khu vực riêng biệt với trình duyệt chính của bạn.
Trình cắm trình duyệt rất nguy hiểm - thực sự, các trình cắm và kiến trúc trình cắm cơ bản tự nó không được thiết kế để bảo mật. Java là thứ tồi tệ nhất trong số đó, nhưng ngay cả Flash cũng có một loạt vấn đề không bao giờ kết thúc. Tin vui là trình cắm duy nhất bạn có thể cần là Flash và web phụ thuộc ít hơn vào mỗi ngày trôi qua.