Spędziłem większą część ostatniego miesiąca na przeprowadzaniu małego eksperymentu, aby sprawdzić, jak bardzo brakowałoby mi błędnego i niepewnego oprogramowania Flash Player firmy Adobe, gdybym całkowicie usunął je z moich systemów. Okazuje się, że nie tak bardzo.

brokenflash-aWtyczki do przeglądarek są ulubionym celem złośliwego oprogramowania i przestępców, ponieważ są one zazwyczaj pełne niezałatanych lub nieudokumentowanych dziur w zabezpieczeniach, które cyberprzestępcy mogą wykorzystać do przejęcia pełnej kontroli nad podatnymi systemami. Plugin Flash Player jest tego doskonałym przykładem: Jest to jedna z najczęściej używanych wtyczek do przeglądarek i wymaga comiesięcznego łatania (jeśli nie częściej).

Nierzadko zdarza się również, że Adobe wydaje awaryjne poprawki do oprogramowania, aby załatać dziury, które źli ludzie zaczęli wykorzystywać, zanim Adobe jeszcze wiedziało o błędach. Ostatnio miało to miejsce w lutym 2015 roku, a także dwa razy w miesiącu poprzedzającym. Adobe wysłał również poprawki do Flasha poza pasmem w grudniu i listopadzie 2014 r.

Uaktualnienie, 11:30 ET: Co dziwne, Adobe kilka minut temu wydał poprawkę poza pasmem, aby naprawić błąd zero-day we Flashu.

Oryginalna historia:

Czasem, wtyczka Java firmy Oracle była ulubionym celem zestawów exploitów, narzędzi programistycznych stworzonych w celu umieszczenia ich w zhakowanych lub złośliwych witrynach i wyrzucenia na odwiedzające je przeglądarki kuchennego zlewu exploitów dla różnych luk w wtyczkach. Ostatnio jednak, wydaje się, że wahadło wychyliło się z powrotem na korzyść exploitów dla Flash Playera. Popularny zestaw exploitów znany jako Angler, na przykład, dołączył nowy exploit na lukę we Flashu zaledwie trzy dni po tym, jak Adobe naprawiło ją w kwietniu 2015 r.

Więc, zamiast kontynuować szaleństwo łatania i utrzymywać to niezabezpieczone oprogramowanie zainstalowane, zdecydowałem się wyciągnąć… er… plugin. Mam tendencję do (ab)używania różnych przeglądarek do różnych zadań, więc odinstalowanie wtyczki było prawie tak proste, jak odinstalowanie Flasha, z wyjątkiem Chrome, który dołącza własną wersję Flash Playera. Nie obawiaj się: wyłączenie Flasha w Chrome jest wystarczająco proste. W Chrome zainstalowanym w systemie Windows, Mac, Linux lub Chrome OS wpisz w pasku adresu „chrome:plugins”, a na stronie z wtyczkami poszukaj listy „Flash”: Aby wyłączyć Flasha, kliknij łącze wyłącz (aby włączyć go ponownie, kliknij „włącz”).

W ciągu prawie 30 dni, wpadłem tylko w dwóch przypadkach, gdy natknąłem się na stronie hostingowej wideo, że absolutnie muszę oglądać i że wymaga Flasha (film instruktażowy dla siłowni domowej, że nie mogłem znaleźć nigdzie indziej, i na żywo-streamed legislacyjnego przesłuchania). Dla tych, zdecydowałem się oszukać i załadować zawartość do przeglądarki obsługującej Flash wewnątrz maszyny wirtualnej Linux mam uruchomiony wewnątrz VirtualBox. Z perspektywy czasu, prawdopodobnie byłoby łatwiej po prostu tymczasowo ponownie włączyć Flasha w Chrome, a następnie wyłączyć go ponownie, dopóki nie pojawi się taka potrzeba. Continue reading →

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.