Jeg har brugt det meste af den sidste måned på at lave et lille eksperiment for at se, hvor meget jeg ville savne Adobes fejlbehæftede og usikre Flash Player-software, hvis jeg fjernede den helt fra mine systemer. Det viser sig, at det ikke er så meget.

brokenflash-aBrowser-plugins er yndlingsmål for malware og ondsindede personer, fordi de generelt er fulde af ikke-patchede eller udokumenterede sikkerhedshuller, som cyberkriminelle kan bruge til at få fuld kontrol over sårbare systemer. Flash Player-pluginprogrammet er et glimrende eksempel på dette: Det er blandt de mest udbredte browser-plugins, og det kræver månedlige patches (hvis ikke hyppigere).

Det er heller ikke ualmindeligt, at Adobe udsender nødrettelser til softwaren for at lappe fejl, som skurkene begyndte at udnytte, før Adobe overhovedet kendte til fejlene. Dette skete senest i februar 2015 og to gange måneden før. Adobe sendte også out-of-band Flash-rettelser i december og november 2014.

OPDATERING, kl. 11.30 ET: Mærkeligt nok udsendte Adobe for få minutter siden en out-of-band patch til at rette en zero-day-fejl i Flash.

Originalhistorie:

Dengang var Oracles Java-plugin det foretrukne mål for exploit kits, softwareværktøjer, der er lavet til at blive syet ind på hackede eller ondsindede websteder og pådutte de besøgende browsere en køkkenvask af exploits for forskellige plugin-sårbarheder. På det seneste ser det imidlertid ud til, at pendulet er svinget tilbage til fordel for udnyttelser til Flash Player. Et populært exploitsæt kendt som Angler, for eksempel, indeholdt et nyt exploitsæt til en Flash-sårbarhed blot tre dage efter, at Adobe rettede den i april 2015.

Så i stedet for at fortsætte patch-galskaben og beholde denne usikre software installeret, besluttede jeg at trække … øh … plugin’et ud. Jeg har en tendens til at (ab)bruge forskellige browsere til forskellige opgaver, og derfor var det næsten lige så enkelt at afinstallere plugin’et som at afinstallere Flash, undtagen med Chrome, som bundler sin egen version af Flash Player. Frygt ej: det er nemt nok at deaktivere Flash i Chrome. På en Windows-, Mac-, Linux- eller Chrome OS-installation af Chrome skal du skrive “chrome:plugins” i adresselinjen, og på siden Plug-ins skal du lede efter listen “Flash”: Hvis du vil deaktivere Flash, skal du klikke på linket “disable” (hvis du vil aktivere Flash igen, skal du klikke på “enable”).

I næsten 30 dage er jeg kun stødt på to tilfælde, hvor jeg er stødt på et websted med en video, som jeg havde absolut brug for at se, og som krævede Flash (en instruktionsvideo til et hjemmegymnastikcenter, som jeg ikke kunne finde andre steder, og en live-streamed høring om en lovgivende forsamling). I disse tilfælde valgte jeg at snyde og indlæse indholdet i en Flash-aktiveret browser inde i en virtuel Linux-maskine, som jeg har kørende i VirtualBox. Set i bakspejlet ville det nok have været nemmere blot at genaktivere Flash midlertidigt i Chrome og derefter deaktivere det igen, indtil behovet opstod. Fortsæt læsning →

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.