Ik heb het grootste deel van de afgelopen maand besteed aan een klein experiment om te zien hoezeer ik Adobe’s buggy en onveilige Flash Player software zou missen als ik het helemaal van mijn systemen zou verwijderen.
Browserplug-ins zijn favoriete doelwitten voor malware en kwaadwillenden, omdat ze over het algemeen vol zitten met ongepatchte of ongedocumenteerde beveiligingslekken die cybercriminelen kunnen gebruiken om de volledige controle over kwetsbare systemen over te nemen. De Flash Player plugin is hier een goed voorbeeld van: Het is een van de meest gebruikte browserplugins, en het vereist maandelijkse patches (zo niet vaker).
Het is ook niet ongebruikelijk dat Adobe noodfixes voor de software uitbrengt om fouten te patchen die slechteriken begonnen te misbruiken voordat Adobe zelfs op de hoogte was van de bugs. Dit gebeurde voor het laatst in februari 2015, en twee keer de maand ervoor. Adobe verscheepte ook out-of-band Flash-fixes in december en november 2014.
Update, 11:30 uur ET: Vreemd genoeg heeft Adobe net enkele minuten geleden een out-of-band patch uitgebracht om een zero-day-fout in Flash te repareren.
Oorspronkelijk verhaal:
Tijd was, Oracle’s Java plugin was het favoriete doelwit van exploit kits, software tools gemaakt om te worden genaaid in gehackte of kwaadaardige sites en foist op bezoekende browsers een keuken gootsteen van exploits voor verschillende plugin kwetsbaarheden. De laatste tijd lijkt de slinger echter weer terug te slaan in het voordeel van exploits voor Flash Player. Een populaire exploit kit bekend als Angler, bijvoorbeeld, bundelde een nieuwe exploit voor een Flash-kwetsbaarheid slechts drie dagen nadat Adobe deze in april 2015 had verholpen.
Dus, in plaats van door te gaan met de patch-gekte en deze onveilige software geïnstalleerd te houden, besloot ik om de…eh…plugin te verwijderen. Ik heb de neiging om verschillende browsers te (ab)gebruiken voor verschillende taken, en dus was het verwijderen van de plugin bijna net zo eenvoudig als het verwijderen van Flash, behalve in Chrome, dat zijn eigen versie van Flash Player bundelt. Vrees niet: het uitschakelen van Flash in Chrome is eenvoudig genoeg. Typ op een Windows-, Mac-, Linux- of Chrome OS-installatie van Chrome “chrome:plugins” in de adresbalk en zoek op de pagina Plug-ins naar de vermelding “Flash”: Om Flash uit te schakelen, klikt u op de link “Uitschakelen” (om Flash weer in te schakelen, klikt u op “Inschakelen”).
In bijna 30 dagen kwam ik slechts twee keer een site tegen met een video die ik absoluut moest bekijken en waarvoor Flash nodig was (een instructievideo voor een thuisgym die ik nergens anders kon vinden, en een live gestreamde wetgevingszitting). Ik koos ervoor om vals te spelen en de inhoud in een Flash browser te laden in een Linux virtuele machine die ik in VirtualBox heb draaien. Achteraf gezien zou het waarschijnlijk eenvoudiger zijn geweest om Flash tijdelijk weer in te schakelen in Chrome, en het dan weer uit te schakelen tot het nodig was. Verder lezen →