Adobe Flash è ancora sotto attacco, con ancora un altro "0-day" - un nuovo buco di sicurezza sfruttato prima c'è anche una patch disponibile. Ecco come proteggersi dai problemi futuri.

Un sito Web dannoso o un sito Web con pubblicità dannosa da una rete pubblicitaria di terze parti potrebbero abusare di uno di questi bug per compromettere il tuo computer.

Abilita click-to- Riproduci (o Disinstalla Flash Interamente)

CORRELATO: Come abilitare i plugin Click-to-Play in ogni browser Web

In teoria potresti disinstallare Flash per evitare questi problemi. È necessario sempre meno, con persino YouTube che scarica completamente Flash per i moderni video HTML5 nei moderni browser web. Nel peggiore dei casi, quando ti imbatti in una sorta di sito di video che richiede Flash, puoi sempre estrarre lo smartphone o il tablet e utilizzare il sito per dispositivi mobili: quelli creati senza Flash.

Ma a volte hai bisogno di Flash e non possiamo consigliare alla maggior parte delle persone di disinstallarlo completamente. Se vuoi installare Flash, e probabilmente lo fai, purtroppo, abilitare click-to-play è l'opzione migliore a tua disposizione. Ciò impedisce ai siti Web di caricare tutti i contenuti Flash che desiderano. Quando visiti un sito, puoi semplicemente fare clic sull'icona segnaposto per caricare un elemento Flash specifico, ad esempio il video. Flash non verrà eseguito automaticamente, proteggendoti dagli attacchi "drive-by" in cui ti infetti semplicemente visitando un sito Web.

Ma non inserire nella whitelist nessun sito Web!

CORRELATO: Che cos'è uno "zero" -Day "Sfrutta e come puoi proteggerti?

Non dovresti utilizzare la whitelist click-to-play, che ti consente di caricare automaticamente il contenuto Flash su determinati siti attendibili. Ecco perché:

Il recente attacco è stato scoperto negli annunci su Dailymotion, un popolare sito di video. Questo è il tipo di sito che le persone potrebbero fare da lista bianca in modo che non avrebbero bisogno di un clic aggiuntivo ogni volta che volevano guardare un video di Dailymotion. Tuttavia, la whitelist del sito consentiva il caricamento di tutti i contenuti Flash, inclusi gli annunci potenzialmente dannosi. L'utilizzo di click-to-play e il semplice clic sul lettore video principale per caricarlo avrebbe impedito che questo attacco - click-to-play consentisse di caricare solo elementi Flash specifici su una pagina, riducendo la vulnerabilità.

Click-to- il gioco non è una panacea, poiché alcuni annunci vengono pubblicati all'interno dei lettori video. Sì, si potrebbe potenzialmente sfruttare da lì utilizzando una sorta di vulnerabilità zero-day. Ma non si tratta di evitare ogni rischio - si tratta di ridurre al minimo il rischio il più possibile.

Utilizzare Chrome, Chromium o Opera per la sandbox Flash

CORRELATI: Perché i plug-in del browser stanno andando via e cos'è Sostituzione di

I plug-in del browser come Flash non sono mai stati creati per essere "sandboxed" per la sicurezza, il che implica l'esecuzione in un ambiente con autorizzazioni ridotte in modo che gli attacchi che violano Flash non possano accedere all'intero computer.

Google ha alleviato questo problema un po 'con il sistema di plug-in "PPAPI" (o "Pepper API") utilizzato in Google Chrome e la navigazione Chromium open source che costituisce la base per Chrome. PPAPI fornisce sandboxing aggiuntivo, che può aiutarti a proteggerti dalle vulnerabilità. Ma la vera soluzione è la sostituzione completa dei plug-in.

Il recente bollettino sulla sicurezza di Adobe rileva: "Siamo a conoscenza dei rapporti secondo cui questa vulnerabilità viene attivamente sfruttata in natura tramite attacchi drive-by-download contro i sistemi che eseguono Internet Explorer e Firefox su Windows 8.1 e versioni precedenti. "Chrome non viene menzionato chiaramente, il che potrebbe essere dovuto al fatto che il sistema PPAPI fornisce ulteriore sicurezza. Gli utenti di Chrome non dovrebbero avere un falso senso di sicurezza, in quanto questo non è protetto da tutti i problemi, ma Chrome è probabilmente il browser più sicuro in cui utilizzare Flash.

Chrome include un plug-in Flash, ma puoi anche scaricare il plug-in PPAPI per Chromium o Opera dal sito Web di Adobe. Chromium costituisce la base sia per Chrome che per Opera, quindi i tre browser dovrebbero offrire le stesse funzionalità di sicurezza per Flash.

Mantieni Flash aggiornato automaticamente

Assicurati di mantenere aggiornato il tuo plug-in Flash. Questo non ti proteggerà dagli 0 giorni - che non hanno una patch rilasciata, per definizione - ma è una parte fondamentale della protezione del plug-in Flash sul tuo computer. Quando queste patch di sicurezza vengono corrette, otterrai l'aggiornamento.

Ci sono diversi modi per farlo. Se utilizzi Google Chrome, Google include il plug-in Flash con funzionalità sandbox (PPAPI) con Chrome. verrà aggiornato automaticamente insieme al browser Web di Chrome in modo da non dover nemmeno pensarci.

Se utilizzi Internet Explorer su Windows 8 o Windows 8.1, Microsoft include una versione del plug-in Flash con IE, pure. Riceverai aggiornamenti per Flash for IE da Windows Update insieme agli altri aggiornamenti di sicurezza.

Se utilizzi un browser diverso: Firefox, Opera o Chromium su qualsiasi versione di Windows; o persino Internet Explorer su Windows 7 o versioni precedenti - sarà necessario utilizzare il programma di aggiornamento integrato di Flash. Flash consiglia di abilitare gli aggiornamenti automatici quando lo si installa, ma è necessario verificare che gli aggiornamenti automatici siano effettivamente abilitati sul computer.

Su Windows, questa opzione è disponibile in Flash Player nel Pannello di controllo. Aprire il Pannello di controllo e cercare "Flash" per trovare il collegamento, oppure fare clic sulla categoria Sistema e sicurezza e scorrere verso il basso. Fare clic sull'icona "Flash Player", fare clic sulla scheda Avanzate e assicurarsi che gli aggiornamenti automatici siano abilitati.

Utilizzare un browser o un profilo browser diverso per Flash

Piuttosto che disinstallare completamente Flash o dipendere esclusivamente da click-to-play, è possibile utilizzare un profilo browser separato con Flash abilitato e aprirlo solo quando è necessario Flash.

Ad esempio, se si utilizza Firefox per la maggior parte del tempo, è possibile disinstallare Flash stesso e installare Google Chrome. Avvia Google Chrome (che viene fornito con un lettore Flash incorporato) quando è necessario utilizzare il contenuto Flash. Oppure, puoi creare un "profilo" separato (account utente in Chrome) nel browser stesso e disabilitare Flash solo nel tuo profilo principale, lasciando Flash abilitato nel profilo secondario. Questo isolerebbe Flash in un'area separata dal tuo browser principale.

I plug-in del browser sono pericolosi - in realtà, i plug-in e l'architettura plug-in sottostante non sono stati progettati pensando alla sicurezza. Java è il peggiore del gruppo, ma anche Flash ha un flusso infinito di problemi. La buona notizia è che l'unico plug-in che è probabilmente necessario è Flash e il Web dipende da esso meno ogni giorno che passa.

Come consentire alle app di comunicare tramite il firewall del Mac

Se si utilizza un Mac, è probabile che non si accorga nemmeno che OS X viene fornito con un firewall. Questo firewall aiuta a garantire che app e servizi non autorizzati non possano contattare il computer e impedisce agli intrusi di individuare il tuo Mac su una rete. CORRELATO: Cosa fa realmente un firewall?

(how-to)

Ecco come un pirata informatico può ignorare l'autenticazione a due fattori

I sistemi di autenticazione a due fattori non sono così infallibili come sembrano. Un utente malintenzionato non ha realmente bisogno del tuo token di autenticazione fisico se può ingannare la tua compagnia telefonica o il servizio di sicurezza stesso in modo da lasciarli entrare. L'autenticazione aggiuntiva è sempre utile.

(how-to)