Sådan beskytter du dig mod alle disse Adobe Flash 0-dages sikkerhedshuller
Adobe Flash er under angreb endnu engang med endnu en "0-dag" - et nyt sikkerhedshul udnyttes, før der endda findes en patch. Sådan beskytter du dig mod fremtidige problemer.
Et ondsindet websted - eller et websted med en ondsindet annonce fra et tredjepartsannonce netværk - kan misbruge en af disse fejl for at kompromittere din computer.
Aktivér Click-to-Play (eller afinstaller Flash helt)
Du kan teoretisk afinstallere Flash for at undgå disse problemer. Det er nødvendigt mindre og mindre, med lige YouTube-dumping Flash helt for moderne HTML5-video i moderne webbrowsere. I værste fald, når du snuble på en slags videosite, der kræver Flash, kan du altid bare trække din smartphone eller tablet og bruge mobilwebstedet - de er bygget uden Flash.
Men nogle gange behøver du Flash, og vi kan ikke anbefale de fleste mennesker afinstallere det helt. Hvis du vil have Flash installeret - og det gør du nok, desværre - det er den bedste mulighed for dig at aktivere klik-til-afspilning. Dette forhindrer websteder i at indlæse alt det Flash-indhold, de ønsker. Når du besøger et websted, kan du bare klikke på stedholderikonet for at indlæse et bestemt Flash-element - som f.eks. Videoen. Flash kører ikke automatisk, hvilket beskytter dig mod "drive-by" -angreb, hvor du bliver inficeret, simpelthen ved at besøge et websted.
Men ikke hvidliste nogen websteder!
Du bør ikke bruge hvidliste til klik for afspilning, som giver dig mulighed for automatisk at indlæse Flash-indhold på bestemte pålidelige websteder. Her er hvorfor:
Det seneste angreb blev opdaget i annoncer på Dailymotion, et populært videosite. Dette er den slags websted, hvorpå folk ville have en hvidliste, så de ikke behøvede et ekstra klik hver gang de ønskede at se en Dailymotion-video. Men whitelisting webstedet ville tillade alt Flash indhold at indlæses, herunder de potentielt skadelige annoncer. Brug af klik for at afspille og bare klikke på hovedvideospilleren for at indlæse det ville have forhindret dette angreb - klik for at afspille giver dig mulighed for kun at indlæse bestemte Flash-elementer på en side, hvilket reducerer din sårbarhed.
Klik-til-afspilning er ikke et universalmiddel, da nogle annoncer leveres inden for videospillere. Ja, du kunne potentielt udnyttes derfra ved hjælp af en slags nul-dags sårbarhed. Men det handler ikke om at undgå enhver risiko - det handler om at minimere risikoen så meget som muligt.
Brug Chrome, Chrom eller Opera til Flash Sandbox
Browser plug-ins som Flash blev aldrig gjort til at være "sandboxed" for sikkerhed, hvilket indebærer at køre dem i et miljø med lav tilladelse, så at angreb, der knæker Flash, ikke vil få adgang til hele din computer.
Google har lettet dette problem lidt med "PPAPI" (eller "Pepper API") plug-in-systemet, der bruges i Google Chrome, og den åbne kilde til Chromium, der danner grundlaget for Chrome. PPAPI giver yderligere sandboxing, som kan hjælpe dig med at beskytte dig mod sårbarheder. Men den rigtige løsning er at erstatte plug-ins helt.
Den seneste sikkerhedsbulletin fra Adobe bemærker: "Vi er opmærksomme på rapporter, at denne sårbarhed udnyttes aktivt i naturen via overførsler angreb på systemer, der kører Internet Explorer og Firefox på Windows 8.1 og nyere." Chrome er ikke synligt nævnt , hvilket kunne skyldes, at PPAPI-systemet giver ekstra sikkerhed. Chrome-brugere bør ikke have en falsk følelse af sikkerhed, da dette ikke er beskyttet mod ethvert problem - men Chrome er nok den sikreste browser til at bruge Flash i.
Chrome indeholder et Flash-plugin, men du kan også downloade PPAPI-plugin'en til Chromium eller Opera fra Adobes hjemmeside. Chrom danner grundlaget for både Chrome og Opera, så de tre browsere skal tilbyde de samme sikkerhedsfunktioner til Flash.
Hold Flash opdateret automatisk
Sørg for at holde din Flash-plugin opdateret. Dette beskytter dig ikke fra 0-dages - som ikke har en patch frigivet pr. Definition - men det er en afgørende del at sikre Flash-plug-in på din computer. Når disse sikkerhedshuller er patched, får du opdateringen.
Der er flere måder at gøre dette på. Hvis du bruger Google Chrome, indeholder Google plug-in til sandboxet (PPAPI) Flash med Chrome. Den opdateres automatisk sammen med Chrome-browseren, så du ikke engang skal tænke over det.
Hvis du bruger Internet Explorer på Windows 8 eller Windows 8.1, indeholder Microsoft også en version af Flash-plug-in med IE. Du modtager opdateringer til Flash til IE fra Windows Update sammen med dine andre sikkerhedsopdateringer.
Hvis du bruger en anden browser - Firefox, Opera eller Chromium på en hvilken som helst version af Windows; eller endda Internet Explorer på Windows 7 eller tidligere - du skal bruge Flash's indbyggede opdateringsprogram. Flash anbefaler, at du aktiverer automatiske opdateringer, når du installerer det, men du bør kontrollere, om automatiske opdateringer faktisk er aktiveret på din computer.
På Windows finder du denne mulighed under Flash Player i Kontrolpanel. Åbn Kontrolpanel og søg efter "Flash" for at finde genvejen, eller klik på kategorien System & Sikkerhed og rul ned til bunden. Klik på ikonet "Flash Player", klik på fanen Avanceret, og sørg for, at automatiske opdateringer er aktiveret.
Brug en anden browser eller browserprofil til Flash
I stedet for at afinstallere Flash helt eller kun afhængigt af klik-til-afspilning, kan du bruge en separat browserprofil, der har Flash-aktiveret og kun åbne den, når du har brug for Flash.
Hvis du for eksempel bruger Firefox det meste af tiden, kan du afinstallere Flash selv og installere Google Chrome. Start Google Chrome (som følger med en indbygget Flash player), når du skal bruge Flash-indhold. Eller du kan oprette en separat "profil" (brugerkonto i Chrome) i selve browseren, og deaktiver kun Flash i din hovedprofil, og lad Flash være aktiveret i den sekundære profil. Dette ville isolere Flash i et separat område væk fra din hovedbrowser.
Browser plugin-moduler er farlige - plugin-modulerne og den underliggende plug-in-arkitektur i sig selv er bare ikke designet med sikkerhed i tankerne. Java er den værste af bunken, men selv Flash har en uendelig strøm af problemer. Den gode nyhed er, at den eneste plugin, du sandsynligvis har brug for, er Flash, og internettet afhænger af det mindre med hver dag.