Вредоносный веб-сайт или веб-сайт с вредоносным объявлением от сторонней рекламной сети может злоупотреблять одним из этих ошибок, чтобы скомпрометировать ваш компьютер.
Включить Click-to-Play (или удалить Flash полностью)
Теоретически вы можете удалить Flash, чтобы избежать этих проблем. Это необходимо все меньше и меньше, даже если YouTube полностью отключит Flash для современного HTML5-видео в современных веб-браузерах. В худшем случае, когда вы натыкаетесь на какой-то видео-сайт, для которого требуется Flash, вы всегда можете просто вытащить свой смартфон или планшет и использовать мобильный сайт - они построены без Flash.
Но иногда вам нужна Flash, и мы не можем рекомендовать, чтобы большинство людей полностью ее удалили. Если вы хотите установить Flash - и, вероятно, вы это делаете, к сожалению - включение режима «щелчок в игру» - лучший вариант для вас. Это не позволяет веб-сайтам загружать все содержимое Flash, которое они хотят. Когда вы посещаете сайт, вы можете просто щелкнуть значок заполнителя, чтобы загрузить определенный элемент Flash - например, видео. Вспышка не будет автоматически запускаться, защищая вас от атак с «проездом», где вы заражаетесь просто от посещения веб-сайта.
Но не берите в белый список на любых сайтах!
Вы не должны использовать белый список, который позволяет автоматически загружать Flash-контент на определенные доверенные сайты. Вот почему:
Недавняя атака была обнаружена в объявлениях популярного видеосайта Dailymotion. Это тот тип людей, которые будут белыми, поэтому им не понадобится дополнительный клик каждый раз, когда они захотят посмотреть видео Dailymotion. Но белый список сайтов позволит загружать все содержимое Flash, включая те потенциально вредоносные объявления. Использование click-to-play и просто щелчок основного видеопроигрывателя для его загрузки предотвратили бы эту атаку. Click-to-play позволяет загружать только определенные элементы Flash на странице, что снижает вашу уязвимость.
Click-to-play не является панацеей, так как некоторые объявления доставляются внутри видеоплееров. Да, вас потенциально можно использовать там, используя уязвимость нулевого дня. Но дело не в том, чтобы избегать всякого риска - это как можно меньше минимизировать риск.
Используйте Chrome, Chromium или Opera для Flash-песочницы
Плагины браузера, такие как Flash, никогда не были «изолированы» для обеспечения безопасности, что подразумевает запуск их в среде с низким разрешением, чтобы атаки, которые взломали Flash, не получат доступ ко всему компьютеру.
Google немного смягчил эту проблему с помощью подключаемой системы «PPAPI» (или «Pepper API»), используемой в Google Chrome, и браузера Chromium с открытым исходным кодом, который составляет основу для Chrome. PPAPI предоставляет дополнительную песочницу, которая может помочь защитить вас от уязвимостей. Но реальное решение полностью заменяет плагины.
Недавний бюллетень по безопасности от Adobe отмечает: «Мы знаем о том, что эта уязвимость активно используется в дикой природе посредством атак на серверы с помощью Internet Explorer и Firefox в Windows 8.1 и ниже». Chrome явно не упоминается, что может быть связано с тем, что система PPAPI обеспечивает дополнительную безопасность. Пользователи Chrome не должны обладать ложным чувством безопасности, поскольку это не защищено от каждой проблемы, но Chrome, вероятно, самый безопасный браузер для использования Flash.
Chrome включает Flash-модуль, но вы также можете загрузить плагин PPAPI для Chromium или Opera с сайта Adobe. Chromium формирует основу как для Chrome, так и для Opera, поэтому три браузера должны предлагать те же функции безопасности для Flash.
Автоматическое обновление Flash
Обязательно обновите плагин Flash. Это не будет защищать вас от 0-дневных - которые по умолчанию не имеют исправления, но это критическая часть защиты Flash-плагина на вашем компьютере. Когда эти отверстия безопасности будут исправлены, вы получите обновление.
Есть несколько способов сделать это. Если вы используете Google Chrome, Google включает в себя подключенный к песочнице (PPAPI) Flash-модуль с Chrome. он будет автоматически обновляться вместе с веб-браузером Chrome, поэтому вам даже не придется об этом думать.
В Windows вы найдете эту опцию в Flash Player на панели управления. Откройте панель управления и найдите «Flash», чтобы найти ярлык, или щелкните категорию «Система и безопасность» и прокрутите вниз. Нажмите значок «Flash Player», перейдите на вкладку «Дополнительно» и убедитесь, что включены автоматические обновления.
Использовать другой браузер или профиль браузера для Flash
Вместо того, чтобы полностью удалять Flash или в зависимости от клика для воспроизведения, вы можете использовать отдельный профиль браузера с включенным Flash и открывать его только тогда, когда вам нужна Flash.
Например, если вы используете Firefox большую часть времени, вы можете самостоятельно удалить Flash и установить Google Chrome. Запустите Google Chrome (который поставляется со встроенным Flash-плеером), когда вам нужно использовать Flash-контент. Или вы можете создать отдельный «профиль» (учетную запись пользователя в Chrome) в самом браузере и отключить Flash только в своем основном профиле, оставив Flash включенным во вторичном профиле. Это изолировало бы Flash в отдельной области от вашего главного браузера.
Плагины браузера опасны - действительно, подключаемые модули и основная архитектура подключаемого модуля просто не были разработаны с учетом безопасности. Java - худший из них, но даже Flash имеет бесконечный поток проблем. Хорошая новость заключается в том, что единственным подключаемым модулем, который вам, скорее всего, понадобится, является Flash, а сеть зависит от него меньше с каждым днем.