Většinu posledního měsíce jsem strávil malým experimentem, abych zjistil, jak moc by mi chyběl chybový a nezabezpečený software Flash Player od společnosti Adobe, kdybych ho ze svých systémů úplně odstranil. Ukázalo se, že ani moc ne.
Pluginy prohlížečů jsou oblíbeným cílem malwaru a záškodníků, protože jsou zpravidla plné neopravených nebo nedokumentovaných bezpečnostních děr, které mohou kyberšmejdi využít k úplnému ovládnutí zranitelných systémů. Hvězdným příkladem je zásuvný modul Flash Player:
Není také neobvyklé, že společnost Adobe vydává nouzové opravy softwaru, aby opravila chyby, které zloduchové začali zneužívat ještě předtím, než se o nich dozvěděli. Naposledy se tak stalo v únoru 2015 a dvakrát měsíc předtím. Společnost Adobe také dodala mimopásmové opravy Flashe v prosinci a listopadu 2014.
Aktualizace, 11:30 SELČ: Společnost Adobe kupodivu před několika minutami vydala mimopásmovou opravu, která opravuje chybu nultého dne ve Flashi.
Původní příběh:
Dříve byl zásuvný modul Java společnosti Oracle oblíbeným cílem exploit kitů, softwarových nástrojů vytvořených tak, aby je bylo možné zašít do hacknutých nebo škodlivých stránek a vnutit navštěvujícím prohlížečům kuchyňský dřez plný exploitů na různé zranitelnosti zásuvných modulů. V poslední době se však zdá, že se kyvadlo vrátilo zpět ve prospěch exploitů pro Flash Player. Populární exploit kit známý jako Angler například přinesl nový exploit na zranitelnost Flash pouhé tři dny poté, co ji společnost Adobe v dubnu 2015 opravila.
Namísto pokračování záplatovacího šílenství a ponechání tohoto nezabezpečeného softwaru nainstalovaného jsem se tedy rozhodl zásuvný modul… ehm… stáhnout. Mám tendenci (ab)používat různé prohlížeče pro různé úkoly, a tak bylo odinstalování zásuvného modulu téměř stejně jednoduché jako odinstalování Flashe, s výjimkou prohlížeče Chrome, který přibaluje vlastní verzi Flash Playeru. Nebojte se: zakázat Flash v Chromu je dost jednoduché. V instalaci prohlížeče Chrome se systémem Windows, Mac, Linux nebo Chrome OS zadejte do adresního řádku „chrome:plugins“ a na stránce Plug-ins vyhledejte seznam „Flash“:
Za téměř 30 dní jsem narazil pouze na dva případy, kdy jsem se setkal s webem, na kterém bylo umístěno video, které jsem nutně potřeboval sledovat a které vyžadovalo Flash (instruktážní video pro domácí posilovnu, které jsem nikde jinde nemohl najít, a živě přenášené slyšení zákonodárců). V těchto případech jsem se rozhodl podvádět a načíst obsah do prohlížeče s podporou Flashe uvnitř virtuálního počítače Linux, který mám spuštěný ve VirtualBoxu. Při zpětném pohledu by asi bylo jednodušší Flash v prohlížeči Chrome prostě dočasně znovu povolit a pak ho zase zakázat, dokud to nebude potřeba. Pokračovat ve čtení →