Hoe u uzelf kunt beschermen tegen al deze veiligheidsgaten van 0-dagen voor Adobe Flash
Adobe Flash wordt opnieuw aangevallen, met weer een "0-dag" - een nieuw beveiligingslek dat wordt misbruikt voordat er zelfs maar een patch beschikbaar is. Hier leest u hoe u uzelf kunt beschermen tegen toekomstige problemen.
Een kwaadwillende website - of een website met een schadelijke advertentie van een extern advertentienetwerk - kan een van deze bugs misbruiken om uw computer te beschadigen.
Click-to-play inschakelen (of Flash volledig verwijderen)
In theorie zou u Flash kunnen verwijderen om deze problemen te voorkomen. Het is steeds minder nodig, met zelfs YouTube dumpen Flash volledig voor moderne HTML5-video in moderne webbrowsers. In het ergste geval wanneer u op een soort videosite stoot waarvoor Flash nodig is, kunt u altijd gewoon uw smartphone of tablet uittrekken en de mobiele site gebruiken - deze zijn zonder Flash gebouwd.
Maar soms heb je Flash nodig, en we kunnen niet aanbevelen dat de meeste mensen de installatie volledig ongedaan maken. Als u wilt dat Flash is geïnstalleerd - en waarschijnlijk doet u dat helaas - is click-to-play inschakelen de beste optie die voor u beschikbaar is. Dit voorkomt dat websites alle gewenste Flash-inhoud laden. Wanneer u een site bezoekt, kunt u op het pictogram van de plaatshouder klikken om een specifiek Flash-element te laden, zoals de video. Flash wordt niet automatisch uitgevoerd en beschermt u tegen "drive-by" -aanvallen waarbij u wordt geïnfecteerd door het bezoeken van een website.
Maar geen websites op de witte lijst zetten!
U mag de click-to-play-whitelist niet gebruiken, waarmee u automatisch Flash-inhoud op bepaalde vertrouwde websites kunt laden. Dit is waarom:
De recente aanval werd ontdekt in advertenties op Dailymotion, een populaire videosite. Dit is het soort site dat mensen op de witte lijst zouden plaatsen, zodat ze niet elke keer dat ze een Dailymotion-video wilden bekijken, een extra klik nodig zouden hebben. Als de site op de witte lijst wordt gezet, kan alle Flash-inhoud worden geladen, inclusief de mogelijk schadelijke advertenties. Door click-to-play te gebruiken en op de hoofdvideospeler te klikken om het te laden, zou deze aanval zijn voorkomen. Met click-to-play kunt u alleen specifieke Flash-elementen op een pagina laden, waardoor uw kwetsbaarheid wordt verminderd.
Click-to-play is geen wondermiddel, omdat sommige advertenties in videospelers worden afgeleverd. Ja, je kunt mogelijk van daaruit worden geëxploiteerd met behulp van een soort zero-day-kwetsbaarheid. Maar het gaat niet om het vermijden van elk risico - het gaat erom het risico zo veel mogelijk te beperken.
Gebruik Chrome, Chromium of Opera voor de Flash Sandbox
Browser plug-ins zoals Flash zijn nooit gemaakt om "sandboxed" te zijn voor beveiliging, wat betekent dat ze moeten worden uitgevoerd in een omgeving met lage rechten, zodat aanvallen die Flash kraken geen toegang krijgen tot uw volledige computer.
Google heeft dit probleem een beetje verlicht met het plug-in-systeem "PPAPI" (of "Pepper API") dat wordt gebruikt in Google Chrome en de open-source Chromium-bladeren die de basis vormen voor Chrome. PPAPI biedt extra sandboxing, die u kan helpen beschermen tegen kwetsbaarheden. Maar de echte oplossing is het volledig vervangen van plug-ins.
Het recente beveiligingsbulletin van Adobe merkt op: "We zijn ons bewust van meldingen dat dit beveiligingslek in het wild actief wordt misbruikt via drive-by-download-aanvallen op systemen met Internet Explorer en Firefox onder Windows 8.1 en lager." Chrome wordt opvallend niet genoemd , mogelijk omdat het PPAPI-systeem extra beveiliging biedt. Chrome-gebruikers zouden geen vals gevoel van veiligheid moeten hebben, omdat dit niet tegen elk probleem is beschermd - maar Chrome is waarschijnlijk de veiligste browser om Flash te gebruiken in.
Chrome bevat een Flash-invoegtoepassing, maar u kunt ook de PPAPI-invoegtoepassing voor Chromium of Opera downloaden van de website van Adobe. Chromium vormt de basis voor zowel Chrome als Opera, dus de drie browsers bieden dezelfde beveiligingsfuncties voor Flash.
Houd Flash automatisch bijgewerkt
Zorg ervoor dat u uw Flash-invoegtoepassing up-to-date houdt. Dit beschermt je niet tegen de 0-dagen - die per definitie geen patch hebben vrijgegeven, maar het is een cruciaal onderdeel van het beveiligen van de Flash-invoegtoepassing op je computer. Wanneer deze beveiligingsgaten zijn hersteld, ontvangt u de update.
Er zijn verschillende manieren om dit te doen. Als u Google Chrome gebruikt, bevat Google de sandboxed (PPAPI) Flash-invoegtoepassing met Chrome. het wordt automatisch bijgewerkt met de Chrome-webbrowser zodat u er niet eens over hoeft na te denken.
Als u Internet Explorer gebruikt op Windows 8 of Windows 8.1, bevat Microsoft ook een versie van de Flash-plug-in met IE. U ontvangt updates voor Flash voor IE van Windows Update samen met uw andere beveiligingsupdates.
Als u een andere browser gebruikt: Firefox, Opera of Chromium voor elke versie van Windows; of zelfs Internet Explorer op Windows 7 of lager - u moet de ingebouwde updater van Flash gebruiken. Flash raadt aan dat u automatische updates inschakelt wanneer u het installeert, maar u moet controleren om ervoor te zorgen dat automatische updates daadwerkelijk op uw computer zijn ingeschakeld.
In Windows vindt u deze optie onder Flash Player in het Configuratiescherm. Open het Configuratiescherm en zoek naar "Flash" om de snelkoppeling te vinden of klik op de categorie Systeem en beveiliging en scrol omlaag naar beneden. Klik op het pictogram "Flash Player", klik op het tabblad Geavanceerd en zorg ervoor dat automatische updates zijn ingeschakeld.
Gebruik een andere browser of browserprofiel voor Flash
In plaats van Flash volledig te verwijderen of alleen afhankelijk van click-to-play, kunt u een apart browserprofiel gebruiken waarop Flash is ingeschakeld en dit alleen openen als u Flash nodig hebt.
Als u Firefox bijvoorbeeld het grootste deel van de tijd gebruikt, kunt u de installatie van Flash zelf ongedaan maken en Google Chrome installeren. Start Google Chrome (die wordt geleverd met een ingebouwde Flash-speler) wanneer u Flash-inhoud moet gebruiken. Of u kunt in de browser zelf een afzonderlijk 'profiel' (gebruikersaccount in Chrome) maken en Flash alleen in uw hoofdprofiel uitschakelen, terwijl Flash is ingeschakeld in het secundaire profiel. Hiermee wordt Flash gescheiden in een ander gebied dan uw hoofdbrowser.
Browser plug-ins zijn gevaarlijk - echt, de plug-ins en de onderliggende plug-in architectuur zelf waren niet ontworpen met beveiliging in gedachten. Java is de ergste van het stel, maar zelfs Flash heeft een eindeloze stroom problemen. Het goede nieuws is dat de enige plug-in die u waarschijnlijk nodig hebt Flash is en dat het web er elke dag minder van afhankelijk is.