it.phhsnews.com


it.phhsnews.com / Come proteggersi da tutti questi fori di sicurezza 0-Day Adobe Flash

Come proteggersi da tutti questi fori di sicurezza 0-Day Adobe Flash


Adobe Flash è ancora sotto attacco, con ancora un altro "0-day" - un nuovo buco di sicurezza sfruttato prima c'è anche una patch disponibile. Ecco come proteggersi dai problemi futuri.

Un sito Web dannoso o un sito Web con pubblicità dannosa da una rete pubblicitaria di terze parti potrebbero abusare di uno di questi bug per compromettere il tuo computer.

Abilita click-to- Riproduci (o Disinstalla Flash Interamente)

CORRELATO: Come abilitare i plugin Click-to-Play in ogni browser Web

In teoria potresti disinstallare Flash per evitare questi problemi. È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni video HTML5 nei moderni browser web. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre estrarre lo smartphone o il tablet e utilizzare il sito per dispositivi mobili: quelli creati senza Flash.

Ma a volte hai bisogno di Flash e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash, e probabilmente lo fai, purtroppo, abilitare click-to-play è l'opzione migliore a tua disposizione. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona segnaposto per caricare un elemento Flash specifico, ad esempio il video. Flash non verrà eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui ti infetti semplicemente visitando un sito Web.

Ma non inserire nella whitelist nessun sito Web!

CORRELATO: Che cos'è uno "zero" -Day "Sfrutta e come puoi proteggerti?

Non dovresti utilizzare la whitelist click-to-play, che ti consente di caricare automaticamente il contenuto Flash su determinati siti attendibili. Ecco perché:

Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone potrebbero fare da lista bianca in modo che non avrebbero bisogno di un clic aggiuntivo ogni volta che volevano guardare un video di Dailymotion. Tuttavia, la whitelist del sito consentiva il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo di click-to-play e il semplice clic sul lettore video principale per caricarlo avrebbe impedito che questo attacco - click-to-play consentisse di caricare solo elementi Flash specifici su una pagina, riducendo la vulnerabilità.

Click-to- il gioco non è una panacea, poiché alcuni annunci vengono pubblicati all'interno dei lettori video. Sì, si potrebbe potenzialmente sfruttare da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio - si tratta di ridurre al minimo il rischio il più possibile.

Utilizzare Chrome, Chromium o Opera per la sandbox Flash

CORRELATI: Perché i plug-in del browser stanno andando via e cos'è Sostituzione di

I plug-in del browser come Flash non sono mai stati creati per essere "sandboxed" per la sicurezza, il che implica l'esecuzione in un ambiente con autorizzazioni ridotte in modo che gli attacchi che violano Flash non possano accedere all'intero computer.

Google ha alleviato questo problema un po 'con il sistema di plug-in "PPAPI" (o "Pepper API") utilizzato in Google Chrome e la navigazione Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione è la sostituzione completa dei plug-in.

Il recente bollettino sulla sicurezza di Adobe rileva: "Siamo a conoscenza dei rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro i sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti. "Chrome non viene menzionato chiaramente, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, in quanto questo non è protetto da tutti i problemi, ma Chrome è probabilmente il browser più sicuro in cui utilizzare Flash.

Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito Web di Adobe. Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.

Mantieni Flash aggiornato automaticamente

Assicurati di mantenere aggiornato il tuo plug-in Flash. Questo non ti proteggerà dagli 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste patch di sicurezza vengono corrette, otterrai l'aggiornamento.

Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash con funzionalità sandbox (PPAPI) con Chrome. verrà aggiornato automaticamente insieme al browser Web di Chrome in modo da non dover nemmeno pensarci.

Se utilizzi Internet Explorer su Windows 8 o Windows 8.1, Microsoft include una versione del plug-in Flash con IE, pure. Riceverai aggiornamenti per Flash for IE da Windows Update insieme agli altri aggiornamenti di sicurezza.

Se utilizzi un browser diverso: Firefox, Opera o Chromium su qualsiasi versione di Windows; o persino Internet Explorer su Windows 7 o versioni precedenti - sarà necessario utilizzare il programma di aggiornamento integrato di Flash. Flash consiglia di abilitare gli aggiornamenti automatici quando lo si installa, ma è necessario verificare che gli aggiornamenti automatici siano effettivamente abilitati sul computer.

Su Windows, questa opzione è disponibile in Flash Player nel Pannello di controllo. Aprire il Pannello di controllo e cercare "Flash" per trovare il collegamento, oppure fare clic sulla categoria Sistema e sicurezza e scorrere verso il basso. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.

Utilizzare un browser o un profilo browser diverso per Flash

Piuttosto che disinstallare completamente Flash o dipendere esclusivamente da click-to-play, è possibile utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando è necessario Flash.

Ad esempio, se si utilizza Firefox per la maggior parte del tempo, è possibile disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash incorporato) quando è necessario utilizzare il contenuto Flash. Oppure, puoi creare un "profilo" separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Questo isolerebbe Flash in un'area separata dal tuo browser principale.


I plug-in del browser sono pericolosi - in realtà, i plug-in e l'architettura plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo, ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in che è probabilmente necessario è Flash e il Web dipende da esso meno ogni giorno che passa.


Come inviare facilmente email a gruppi di persone in Gmail

Come inviare facilmente email a gruppi di persone in Gmail

Le mailing list sono un vecchio strumento nell'arsenale della posta elettronica, ma la loro implementazione in Gmail non è immediatamente intuitiva. Continua a leggere mentre ti mostriamo come inviare email ai gruppi usando il tuo account Gmail. Caro How-To Geek, Probabilmente starò a sbattere me stesso quando mi mostrerai com'è facile, ma in questo momento sono in perdita: come faccio a impostare una semplice mailing list in Gmail?

(how-to)

Come rinominare qualsiasi computer, smartphone o tablet

Come rinominare qualsiasi computer, smartphone o tablet

È Una buona idea dare a ciascuno dei dispositivi che usi un nome significativo. Ciò è particolarmente importante su Windows 10, in quanto Microsoft ha rimosso l'opzione relativa al nome del computer dal processo di installazione iniziale. I PC Windows 10 riceveranno solo nomi casuali e privi di significato per impostazione predefinita.

(how-to)