Pasé la mayor parte del último mes realizando un pequeño experimento para ver cuánto extrañaría Adobees buggy e inseguro Reproductor Flash software si lo eliminara de mis sistemas por completo. Resulta que, no tanto.
Los complementos del navegador son los objetivos favoritos de malware y malhechores porque generalmente están llenos de agujeros de seguridad sin parches o sin documentar que los ciberdelincuentes pueden usar para tomar el control total de los sistemas vulnerables. El complemento Flash Player es un ejemplo estelar de esto: se encuentra entre los complementos de navegador más utilizados y requiere parches mensuales (si no con más frecuencia).
Tampoco es raro que Adobe publique correcciones de emergencia para el software para corregir fallas que los malos comenzaron a explotar antes de que Adobe supiera de los errores. Esto sucedió más recientemente en febrero de 2015, y dos veces el mes anterior. Adobe también envió correcciones de Flash fuera de banda en diciembre y noviembre de 2014.
Actualización, 11:30 am ET: Por extraño que parezca, Adobe lanzó hace unos minutos un parche fuera de banda para corregir una falla de día cero en Flash.
historia original:
Hubo un tiempo en que el complemento de Java de Oracle era el objetivo favorito de los kits de explotación, herramientas de software creadas para integrarse en sitios pirateados o maliciosos e imponer a los navegadores visitantes una fuente de explotación de varias vulnerabilidades de los complementos. Últimamente, sin embargo, parece que el péndulo ha vuelto a inclinarse a favor de los exploits para Flash Player. Un kit de explotación popular conocido como Pescador de cañapor ejemplo, incluyó un nuevo exploit para una vulnerabilidad Flash solo tres días después de que Adobe lo arreglara en abril de 2015.
Entonces, en lugar de continuar con la locura de los parches y mantener este software inseguro instalado, decidí extraer el… eh… complemento. Tiendo a (ab) usar diferentes navegadores para diferentes tareas, por lo que desinstalar el complemento fue casi tan simple como desinstalar Flash, excepto con Cromo, que incluye su propia versión de Flash Player. No temáis: deshabilitar Flash en Chrome es bastante simple. En un ventanas, Mac, linux o Sistema operativo Chrome instalación de Chrome, escriba «chrome:plugins» en la barra de direcciones y, en la página de complementos, busque la lista «Flash»: Para desactivar Flash, haga clic en el enlace de desactivación (para volver a activarlo, haga clic en «activar») .
En casi 30 días, solo me encontré con dos casos en los que encontré un sitio que albergaba un video que absolutamente necesitaba ver y que requería Flash (un video instructivo para un gimnasio en casa que no pude encontrar en ningún otro lugar, y un video transmitido en vivo). audiencia legislativa). Para estos, opté por hacer trampa y cargar el contenido en un navegador habilitado para Flash dentro de una máquina virtual Linux en la que me estoy ejecutando. caja virtual. En retrospectiva, probablemente hubiera sido más fácil volver a habilitar temporalmente Flash en Chrome y luego deshabilitarlo nuevamente hasta que surgiera la necesidad.
Si decide que eliminar Flash por completo o desactivarlo hasta que sea necesario no es práctico, existen soluciones intermedias. Aplicaciones de bloqueo de scripts como sin guion y ScriptSafe son útiles para bloquear contenido Flash, pero los bloqueadores de secuencias de comandos pueden ser difíciles de manejar para muchos usuarios.
Otro enfoque es hacer clic para reproducir, que es una característica disponible para la mayoría de los navegadores (excepto IE, lamentablemente) que bloquea la carga del contenido Flash de forma predeterminada, reemplazando el contenido en los sitios web con un cuadro en blanco. Con hacer clic para reproducir, los usuarios que deseen ver el contenido bloqueado solo necesitan hacer clic en las casillas para habilitar el contenido Flash dentro de ellas (hacer clic para reproducir también bloquea la carga de los subprogramas de Java de forma predeterminada).
Los usuarios de Windows que decidan mantener Flash instalado y/o habilitado también deben aprovechar al máximo la Kit de herramientas de experiencia de mitigación mejorada (EMET), una herramienta gratuita de Microsoft que puede ayudar a los usuarios de Windows a reforzar la seguridad de las aplicaciones de terceros.
Relacionado:
Actualización de Adobe Nixes Flash Player Zero Day – Krebs en seguridad
Actualización de seguridad crítica para Adobe Flash Player – Krebs on Security
Actualización crítica de Adobe Flash Player Nixes 25 fallas – Krebs on Security
Ataques a la falla de Flash Player – Krebs en seguridad
