Ho passato la maggior parte dell’ultimo mese a fare un piccolo esperimento per vedere quanto mi sarebbe mancato il software Flash Player di Adobe, buggato e insicuro, se lo avessi rimosso del tutto dai miei sistemi. Si è scoperto che non è poi così tanto.
I plugin del browser sono i bersagli preferiti di malware e malintenzionati perché sono generalmente pieni di buchi di sicurezza non patchati o non documentati che i cybercriminali possono usare per prendere il controllo completo dei sistemi vulnerabili. Il plugin Flash Player è un esempio stellare di questo: È tra i plugin del browser più utilizzati, e richiede patch mensili (se non più frequentemente).
Non è raro che Adobe rilasci correzioni di emergenza per il software per correggere difetti che i cattivi hanno iniziato a sfruttare prima ancora che Adobe sapesse dei bug. Questo è successo di recente nel febbraio 2015, e due volte il mese precedente. Adobe ha anche spedito correzioni Flash out-of-band nel dicembre e novembre 2014.
Aggiornamento, 11:30 a.m. ET: stranamente, Adobe pochi minuti fa ha rilasciato una patch out-of-band per risolvere un difetto zero-day in Flash.
Storia originale:
Un tempo, il plugin Java di Oracle era l’obiettivo preferito degli exploit kit, strumenti software fatti per essere cuciti in siti violati o dannosi e imporre ai browser in visita un lavandino di exploit per varie vulnerabilità del plugin. Ultimamente, tuttavia, sembra che il pendolo abbia oscillato di nuovo a favore degli exploit per Flash Player. Un popolare kit di exploit noto come Angler, per esempio, ha fornito un nuovo exploit per una vulnerabilità di Flash solo tre giorni dopo che Adobe l’ha risolta nell’aprile 2015.
Così, piuttosto che continuare la follia delle patch e mantenere questo software insicuro installato, ho deciso di tirare il…er…plugin. Tendo a (ab)usare diversi browser per compiti diversi, e quindi disinstallare il plugin è stato quasi semplice come disinstallare Flash, tranne che con Chrome, che include la propria versione di Flash Player. Non temete: disabilitare Flash in Chrome è abbastanza semplice. Su un’installazione Windows, Mac, Linux o Chrome OS di Chrome, digitate “chrome:plugins” nella barra degli indirizzi, e nella pagina dei plug-in cercate l’elenco “Flash”: Per disabilitare Flash, cliccate sul link di disabilitazione (per riabilitarlo, cliccate su “enable”).
In quasi 30 giorni, mi sono imbattuto solo in due casi in cui ho incontrato un sito che ospitava un video che avevo assolutamente bisogno di guardare e che richiedeva Flash (un video di istruzioni per una palestra domestica che non potevo trovare da nessun’altra parte, e un’udienza legislativa in diretta). Per questi, ho scelto di barare e caricare il contenuto in un browser abilitato a Flash all’interno di una macchina virtuale Linux che ho in esecuzione all’interno di VirtualBox. Con il senno di poi, probabilmente sarebbe stato più facile semplicemente riabilitare temporaneamente Flash in Chrome, e poi disabilitarlo di nuovo fino a quando non fosse stato necessario. Continua a leggere →