Jag har ägnat större delen av den senaste månaden åt ett litet experiment för att se hur mycket jag skulle sakna Adobes buggiga och osäkra Flash Player-programvara om jag tog bort den helt från mina system. Det visade sig att det inte var så mycket.

brokenflash-aBrowserplugins är favoritmål för skadlig kod och skurkar eftersom de i allmänhet är fulla av okorrigerade eller odokumenterade säkerhetshål som cyberkriminella kan använda för att ta fullständig kontroll över sårbara system. Flash Player-plugin är ett utmärkt exempel på detta: Det är en av de mest använda webbläsarplugins och kräver månadsvis korrigering (om inte oftare).

Det är inte heller ovanligt att Adobe släpper nödkorrigeringar för programvaran för att åtgärda brister som skurkar började utnyttja innan Adobe ens kände till buggarna. Detta hände senast i februari 2015 och två gånger månaden innan. Adobe skickade också out-of-band Flash-korrigeringar i december och november 2014.

Uppdatering, 11:30 ET: Märkligt nog släppte Adobe för bara några minuter sedan en out-of-band-korrigering för att åtgärda en zero-day-fel i Flash.

Original story:

Förr i tiden var Oracles Java-plugin favoritmålet för exploit kits, programvaruverktyg som görs för att sys in i hackade eller skadliga webbplatser och ge besökande webbläsare en kökslåda av exploateringar för olika plugin-sårbarheter. På senare tid verkar det dock som om pendeln har svängt tillbaka till förmån för exploateringar för Flash Player. Ett populärt exploateringskit som kallas Angler, till exempel, innehöll en ny exploatering för en Flash-sårbarhet bara tre dagar efter att Adobe åtgärdat den i april 2015.

Så i stället för att fortsätta patchgalenskapen och låta denna osäkra programvara vara installerad bestämde jag mig för att ta bort… eh… insticksmodulet. Jag tenderar att (ab)använda olika webbläsare för olika uppgifter, och därför var det nästan lika enkelt att avinstallera insticksprogrammet som att avinstallera Flash, förutom med Chrome, som buntar med sin egen version av Flash Player. Frukta inte: det är enkelt nog att inaktivera Flash i Chrome. På en Windows-, Mac-, Linux- eller Chrome OS-installation av Chrome skriver du ”chrome:plugins” i adressfältet, och på sidan Plug-ins letar du efter listan ”Flash”: Om du vill inaktivera Flash klickar du på länken för att inaktivera den (om du vill aktivera den igen klickar du på ”enable”).

Under nästan 30 dagar har jag bara stött på två fall där jag har stött på en webbplats där det fanns en video som jag absolut behövde titta på och som krävde Flash (en instruktionsvideo för ett gym för hemmabruk som jag inte kunde hitta någon annanstans och en direktsänd utfrågning av en lagstiftande församling). I dessa fall valde jag att fuska och ladda innehållet i en Flash-aktiverad webbläsare i en virtuell Linux-maskin som jag kör i VirtualBox. I efterhand hade det förmodligen varit enklare att tillfälligt återaktivera Flash i Chrome och sedan inaktivera det igen tills behovet uppstod. Fortsätt läsa →

Lämna ett svar

Din e-postadress kommer inte publiceras.