Un sito Web dannoso o un sito Web con pubblicità dannosa da una rete pubblicitaria di terze parti potrebbero abusare di uno di questi bug per compromettere il tuo computer.
Abilita Click-to-Play (o Disinstalla Flash Interamente)
In teoria è possibile disinstallare Flash per evitare questi problemi. È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni video HTML5 nei moderni browser web. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre estrarre lo smartphone o il tablet e utilizzare il sito per dispositivi mobili, ovvero quelli creati senza Flash.
Ma a volte hai bisogno di Flash, e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash, e probabilmente lo fai, purtroppo, abilitare click-to-play è l'opzione migliore a tua disposizione. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona segnaposto per caricare un elemento Flash specifico, ad esempio il video. Flash non verrà eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui ti infetti semplicemente visitando un sito web.
Ma non inserire nella whitelist nessun sito web!
Non utilizzare la whitelist click-to-play, che consente di caricare automaticamente il contenuto Flash su determinati siti attendibili. Ecco perché:
Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone potrebbero fare da lista bianca in modo che non avrebbero bisogno di un clic aggiuntivo ogni volta che volevano guardare un video di Dailymotion. Tuttavia, la whitelist del sito consentiva il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo di click-to-play e il semplice clic sul lettore video principale per caricarlo avrebbe impedito che questo attacco - click-to-play consentisse di caricare solo elementi Flash specifici su una pagina, riducendo la vulnerabilità.
Click-to-play non è una panacea, poiché alcuni annunci vengono pubblicati all'interno di lettori video. Sì, si potrebbe potenzialmente sfruttare da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio - si tratta di ridurre al minimo il rischio il più possibile.
Utilizza Chrome, Chromium o Opera per Sandbox Flash
I plug-in del browser come Flash non sono mai stati creati per essere "salvati in modalità sandbox" per motivi di sicurezza, il che implica l'esecuzione in un ambiente con autorizzazioni ridotte in modo che gli attacchi che violano Flash non possano accedere all'intero computer.
Google ha alleviato questo problema un po 'con il sistema di plug-in "PPAPI" (o "Pepper API") utilizzato in Google Chrome e la navigazione Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione sta sostituendo completamente i plug-in.
Il recente bollettino sulla sicurezza di Adobe rileva: "Siamo a conoscenza dei rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti." Chrome non viene menzionato in modo evidente, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, in quanto questo non è protetto da tutti i problemi, ma Chrome è probabilmente il browser più sicuro in cui utilizzare Flash.
Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito Web di Adobe. Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.
Mantieni Flash aggiornato automaticamente
Assicurati di mantenere aggiornato il tuo plug-in Flash. Questo non ti proteggerà dagli 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste patch di sicurezza vengono corrette, otterrai l'aggiornamento.
Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash con funzionalità sandbox (PPAPI) con Chrome. verrà aggiornato automaticamente insieme al browser web di Chrome in modo da non dover nemmeno pensarci.
Su Windows, troverai questa opzione sotto Flash Player nel Pannello di controllo. Aprire il Pannello di controllo e cercare "Flash" per trovare il collegamento, oppure fare clic sulla categoria Sistema e sicurezza e scorrere verso il basso. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.
Utilizzare un browser o un profilo browser diverso per Flash
Anziché disinstallare completamente Flash o dipendere esclusivamente da click-to-play, puoi utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando hai bisogno di Flash.
Ad esempio, se si utilizza Firefox per la maggior parte del tempo, è possibile disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash incorporato) quando è necessario utilizzare il contenuto Flash. Oppure, puoi creare un "profilo" separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Questo isolerebbe Flash in un'area separata dal tuo browser principale.
I plug-in del browser sono pericolosi - in realtà, i plug-in e l'architettura plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo, ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in che è probabilmente necessario è Flash e il Web dipende da esso meno ogni giorno che passa.