Hemsida » hur » Hur skyddar du dig från alla dessa Adobe Flash 0-dagars säkerhetshål

    Hur skyddar du dig från alla dessa Adobe Flash 0-dagars säkerhetshål

    Adobe Flash är under attack igen med ännu en "0-dag" - ett nytt säkerhetshål utnyttjas innan det finns ens en patch tillgänglig. Så här skyddar du dig mot framtida problem.

    En skadlig webbplats - eller en webbplats med skadlig annons från ett tredjepartsannonsnätverk - kan missbruka en av dessa fel för att kompromissa din dator.

    Aktivera Click-to-Play (eller avinstallera Flash helt)

    Du kan teoretiskt avinstallera Flash för att undvika dessa problem. Det behövs mindre och mindre, med jämn YouTube-dumpning Flash helt för modern HTML5-video i moderna webbläsare. I värsta fall när du snubblar på någon typ av videosida som kräver Flash, kan du alltid bara dra ut din smartphone eller surfplatta och använda mobilplatsen - de är byggda utan Flash.

    Men ibland behöver du Flash, och vi kan inte rekommendera de flesta att avinstallera det helt. Om du vill ha Flash installerat - och det gör du förmodligen, tyvärr - det är det bästa alternativet för dig som klickar på-spel. Detta förhindrar att webbplatser laddar allt Flash-innehåll de vill ha. När du besöker en webbplats kan du bara klicka på platshållarikonen för att ladda ett visst Flash-element - som videoen. Flash körs inte automatiskt och skyddar dig från "drive-by" -attacker där du smittas helt enkelt från att besöka en webbplats.

    Men välj inte någon webbläsare!

    Du bör inte använda klick-till-spel-vitlistan, som låter dig automatiskt ladda Flash-innehåll på vissa betrodda webbplatser. Här är varför:

    Den senaste attacken upptäcktes i annonser på Dailymotion, en populär videosida. Det här är den typ av webbplats som folk skulle vita på så att de inte skulle behöva ytterligare ett klick varje gång de ville titta på en Dailymotion-video. Men whitelisting webbplatsen tillåter att allt Flash-innehåll laddas, inklusive de potentiellt skadliga annonserna. Med hjälp av klick-till-spel och bara klicka på huvudvideospelaren för att ladda det skulle det ha hindrat den här attacken - klicka-för-spela kan du bara ladda specifika Flash-element på en sida, vilket minskar din sårbarhet.

    Click-to-play är inte ett paradis eftersom vissa annonser levereras inom videospelare. Ja, du kan eventuellt utnyttjas därifrån med hjälp av någon form av sårbarhet på noll dag. Men det handlar inte om att undvika alla risker - det handlar om att minimera risken så mycket som möjligt.

    Använd Chrome, Chrom eller Opera för Flash Sandbox

    Browser-plugin-program som Flash gjordes aldrig för att vara "sandboxed" för säkerhet, vilket innebär att de körs i en miljö med låg tillåtelse så att attacker som spricker Flash inte kommer att få åtkomst till hela datorn.

    Google har lindrat det här problemet lite med plug-in-systemet "PPAPI" (eller "Pepper API") som används i Google Chrome och den öppna källkronans bläddra som ligger till grund för Chrome. PPAPI ger ytterligare sandlåda, vilket kan skydda dig mot sårbarheter. Men den verkliga lösningen ersätter helt plug-ins.

    Den senaste säkerhetsbulletinen från Adobe noterar: "Vi är medvetna om rapporter om att det här sårbarheten aktivt utnyttjas i naturen via attacker som körs vid nedladdningar mot system som kör Internet Explorer och Firefox på Windows 8.1 och senare." Chrome nämns inte nämnvärt , vilket kan bero på att PPAPI-systemet ger ytterligare säkerhet. Chrome-användare borde inte ha en falsk känsla av säkerhet, eftersom det inte har skyddats mot varje problem - men Chrome är förmodligen den säkraste webbläsaren för att använda Flash i.

    Chrome innehåller en Flash-plugin, men du kan också hämta PPAPI-plugin-modulen för Chromium eller Opera från Adobes webbplats. Krom ligger till grund för både Chrome och Opera, så de tre webbläsarna ska erbjuda samma säkerhetsfunktioner för Flash.

    Håll Flash uppdaterad automatiskt

    Var noga med att hålla din Flash-plugin uppdaterad. Det här skyddar dig inte från 0-dagarna - som inte har en patch utsläppt per definition - men det är en viktig del för att säkra Flash-plugin-modulen på din dator. När de säkerhetshålen är patchade får du uppdateringen.

    Det finns flera sätt att göra detta. Om du använder Google Chrome innehåller Google plugin-modulen med sandlåda (PPAPI) Flash med Chrome. Den uppdateras automatiskt tillsammans med Chrome webbläsaren så att du inte ens behöver tänka på den.

    Om du använder Internet Explorer på Windows 8 eller Windows 8.1 innehåller Microsoft en version av Flash-plugin-modulen med IE. Du får uppdateringar för Flash för IE från Windows Update tillsammans med dina andra säkerhetsuppdateringar.

    Om du använder en annan webbläsare - Firefox, Opera eller Chromium på vilken version av Windows som helst; eller till och med Internet Explorer på Windows 7 eller tidigare - du måste använda Flash: s inbyggda uppdaterare. Flash rekommenderar att du aktiverar automatiska uppdateringar när du installerar det, men du bör kontrollera att automatiska uppdateringar faktiskt är aktiverade på din dator.

    På Windows hittar du det här alternativet under Flash Player i Kontrollpanelen. Öppna kontrollpanelen och sök efter "Flash" för att hitta genvägen, eller klicka på kategorin System och säkerhet och rulla ner till botten. Klicka på ikonen "Flash Player", klicka på fliken Avancerat och se till att automatiska uppdateringar är aktiverade.

    Använd en annan webbläsare eller webbläsarprofil för Flash

    I stället för att avinstallera Flash helt eller helt och hållet endast på klicka-till-spel kan du använda en separat webbläsarprofil som har Flash-aktiverad och endast öppna den när du behöver Flash.

    Om du till exempel använder Firefox mest av tiden kan du avinstallera Flash själv och installera Google Chrome. Starta Google Chrome (som levereras med en inbyggd Flash-spelare) när du behöver använda Flash-innehåll. Eller du kan skapa en separat "profil" (användarkonto i Chrome) i webbläsaren själv och inaktivera endast Flash i din huvudprofil, vilket gör att Flash är aktiverat i den sekundära profilen. Detta skulle isolera Flash i ett separat område bort från din huvudbläddrare.


    Plugin-pluggar för webbläsare är farliga - plugin-programmen och den underliggande plugin-arkitekturen är inte bara utformade med säkerhet i åtanke. Java är det värsta av gänget, men även Flash har en oändlig ström av problem. Den goda nyheten är att den enda plugin du sannolikt behöver är Flash, och webben beror på det mindre med varje dag som går.