Cómo protegerse de todos estos agujeros de seguridad de 0 días de Adobe Flash
Adobe Flash está siendo atacado nuevamente, con otro "día cero": se está explotando un nuevo agujero de seguridad antes de que haya incluso un parche disponible. Aquí es cómo protegerse de problemas futuros.
Un sitio web malicioso (o un sitio web con un anuncio malicioso de una red publicitaria de terceros) podría abusar de uno de estos errores para poner en peligro su computadora.
Habilitar Click-to-Play (o desinstalar Flash por completo)
Teóricamente podrías desinstalar Flash para evitar estos problemas. Se necesita cada vez menos, incluso con YouTube descargando Flash por completo para videos HTML5 modernos en navegadores web modernos. En el peor de los casos, cuando te topas con algún tipo de sitio de video que requiere Flash, siempre puedes sacar tu teléfono inteligente o tableta y usar el sitio móvil, esos están construidos sin Flash.
Pero a veces necesita Flash, y no podemos recomendar que la mayoría de las personas lo desinstalen por completo. Si desea que se instale Flash, y probablemente lo haga, lamentablemente, habilitar la función de reproducción con un clic es la mejor opción disponible para usted. Esto evita que los sitios web carguen todo el contenido de Flash que desean. Cuando visita un sitio, puede hacer clic en el icono del marcador de posición para cargar un elemento Flash específico, como el video. Flash no se ejecuta automáticamente, lo que lo protege de los ataques "drive-by" en los que se infecta simplemente por visitar un sitio web.
Pero no haga una lista blanca de sitios web!
No debe usar la lista blanca de reproducción por clic, que le permite cargar contenido Flash automáticamente en ciertos sitios de confianza. Este es el por qué:
El reciente ataque fue descubierto en anuncios en Dailymotion, un popular sitio de videos. Este es el tipo de sitio que las personas incluirían en la lista blanca para que no necesiten un clic adicional cada vez que quieran ver un video de Dailymotion. Pero la inclusión en la lista blanca del sitio permitiría cargar todo el contenido de Flash, incluidos aquellos anuncios potencialmente maliciosos. Hacer clic para reproducir y simplemente hacer clic en el reproductor de video principal para cargarlo hubiera evitado este ataque: hacer clic para reproducir solo le permite cargar elementos Flash específicos en una página, lo que reduce su vulnerabilidad.
Click-to-play no es una panacea, ya que algunos anuncios se envían dentro de reproductores de video. Sí, podría ser explotado desde allí utilizando algún tipo de vulnerabilidad de día cero. Pero no se trata de evitar todos los riesgos, se trata de minimizar el riesgo tanto como sea posible.
Utilice Chrome, Chromium u Opera para el entorno de pruebas de Flash
Los complementos del navegador como Flash nunca se hicieron para ser "de espacio aislado" por seguridad, lo que implica ejecutarlos en un entorno de permisos bajos para que los ataques de crack no puedan acceder a toda su computadora.
Google ha aliviado un poco este problema con el sistema de complementos "PPAPI" (o "Pepper API") utilizado en Google Chrome y el navegador de código abierto Chromium que forma la base de Chrome. PPAPI proporciona un espacio aislado adicional, que puede ayudarlo a protegerse de las vulnerabilidades. Pero la verdadera solución es reemplazar los plug-ins por completo..
El reciente boletín de seguridad de Adobe señala: "Somos conscientes de los informes que indican que esta vulnerabilidad se está explotando de forma activa y en forma desenfrenada a través de ataques drive-by-download contra sistemas que ejecutan Internet Explorer y Firefox en Windows 8.1 y versiones posteriores". , lo que podría deberse a que el sistema PPAPI proporciona seguridad adicional. Los usuarios de Chrome no deberían tener una falsa sensación de seguridad, ya que esto no ha protegido contra todos los problemas, pero Chrome es probablemente el navegador más seguro para usar Flash..
Chrome incluye un complemento Flash, pero también puede descargar el complemento PPAPI para Chromium u Opera desde el sitio web de Adobe. Chromium forma la base tanto para Chrome como para Opera, por lo que los tres navegadores deberían ofrecer las mismas características de seguridad para Flash.
Mantener el flash actualizado automáticamente
Asegúrese de mantener su complemento Flash actualizado. Esto no lo protegerá de los 0 días, que no tienen un parche publicado, por definición, pero es una parte fundamental para asegurar el complemento Flash en su computadora. Cuando se reparen esos agujeros de seguridad, obtendrás la actualización.
Hay varias formas de hacerlo. Si utiliza Google Chrome, Google incluye el complemento Flash de Sandbox (PPAPI) con Chrome. se actualizará automáticamente junto con el navegador web Chrome para que ni siquiera tengas que pensar en ello.
Si usa Internet Explorer en Windows 8 o Windows 8.1, Microsoft también incluye una versión del complemento Flash con IE. Recibirá actualizaciones para Flash for IE de Windows Update junto con sus otras actualizaciones de seguridad.
Si usa un navegador diferente: Firefox, Opera o Chromium en cualquier versión de Windows; o incluso Internet Explorer en Windows 7 o versiones anteriores, deberá usar el actualizador incorporado de Flash. Flash recomienda que habilite las actualizaciones automáticas cuando lo instale, pero debe verificar que las actualizaciones automáticas estén realmente habilitadas en su computadora.
En Windows, encontrará esta opción en Flash Player en el Panel de control. Abra el Panel de control y busque "Flash" para encontrar el acceso directo, o haga clic en la categoría Sistema y seguridad y desplácese hacia abajo hasta la parte inferior. Haga clic en el icono de "Flash Player", haga clic en la pestaña Avanzado y asegúrese de que las actualizaciones automáticas estén habilitadas.
Utilice un navegador diferente o un perfil de navegador para Flash
En lugar de desinstalar Flash por completo o depender únicamente de hacer clic para jugar, puede usar un perfil de navegador que tenga habilitado Flash y abrirlo solo cuando necesite Flash.
Por ejemplo, si usa Firefox la mayor parte del tiempo, podría desinstalar Flash e instalar Google Chrome. Inicie Google Chrome (que viene con un reproductor Flash incorporado) cuando necesite usar contenido Flash. O bien, puede crear un “perfil” separado (cuenta de usuario en Chrome) en el navegador y deshabilitar Flash solo en su perfil principal, dejando a Flash habilitado en el perfil secundario. Esto aislaría Flash en un área separada lejos de su navegador principal.
Los complementos del navegador son peligrosos: en realidad, los complementos y la arquitectura subyacente de los complementos en sí no fueron diseñados teniendo en cuenta la seguridad. Java es el peor de todos, pero incluso Flash tiene un flujo interminable de problemas. La buena noticia es que el único complemento que probablemente necesite es Flash, y la web depende de ello cada día que pasa..