Como se proteger de todos esses furos de segurança de 0 dias do Adobe Flash
O Adobe Flash está sendo atacado novamente, com outro "0-day" - uma nova falha de segurança sendo explorada antes mesmo de haver um patch disponível. Veja como se proteger de problemas futuros.
Um site malicioso - ou um site com um anúncio malicioso de uma rede de publicidade de terceiros - pode abusar de um desses bugs para comprometer seu computador.
Ativar Reprodução por Clique (ou Desinstalar Flash Inteiramente)
Você poderia, teoricamente, desinstalar o Flash para evitar esses problemas. É preciso cada vez menos, com até o YouTube jogando o Flash completamente para vídeos em HTML5 modernos em navegadores modernos. Na pior das hipóteses, quando se depara com algum tipo de site de vídeo que requer o Flash, você pode sempre retirar seu smartphone ou tablet e usar o site para celular. Esses recursos são criados sem o Flash.
Mas às vezes você precisa do Flash e não podemos recomendar que a maioria das pessoas o desinstale completamente. Se você quer que o Flash esteja instalado - e você provavelmente o faz, infelizmente - habilitar o click-to-play é a melhor opção disponível para você. Isso impede que os sites carreguem todo o conteúdo em Flash desejado. Quando você visita um site, basta clicar no ícone de espaço reservado para carregar um elemento específico do Flash, como o vídeo. O Flash não será executado automaticamente, protegendo você contra ataques "drive-by", nos quais você é infectado, simplesmente visitando um site.
Mas não crie listas de sites!
Você não deve usar a lista de permissões "clique para reproduzir", que permite carregar automaticamente o conteúdo em Flash em determinados sites confiáveis. Aqui está o porquê:
O ataque recente foi descoberto em anúncios no Dailymotion, um site de vídeos populares. Esse é o tipo de site que as pessoas colocariam na lista de permissões para que não precisassem de um clique adicional toda vez que quisessem assistir a um vídeo do Dailymotion. No entanto, a lista de permissões do site permitiria o carregamento de todo o conteúdo em Flash, incluindo os anúncios potencialmente mal-intencionados. Usar o clique para reproduzir e apenas clicar no player de vídeo principal para carregá-lo teria evitado esse ataque. O clique para reproduzir permite que você carregue apenas elementos específicos do Flash em uma página, reduzindo sua vulnerabilidade.
O clique para reproduzir não é uma panacéia, pois alguns anúncios são exibidos em players de vídeo. Sim, você poderia ser explorado a partir daí usando algum tipo de vulnerabilidade de dia zero. Mas não se trata de evitar todos os riscos - trata-se de minimizar o risco tanto quanto possível.
Use o Chrome, o Chromium ou o Opera para a sandbox do Flash
Plug-ins de navegadores como o Flash nunca foram feitos para serem "sandboxed" para segurança, o que envolve executá-los em um ambiente de baixa permissão para que os ataques que quebram o Flash não tenham acesso a todo o seu computador.
O Google alivia um pouco esse problema com o sistema de plug-in "PPAPI" (ou "Pepper API") usado no Google Chrome e a navegação em código aberto do Chromium que forma a base do Chrome. O PPAPI fornece um sandbox adicional, que pode ajudar a proteger você contra vulnerabilidades. Mas a solução real é substituir totalmente os plug-ins.
O recente boletim de segurança da Adobe aponta: “Estamos cientes de relatos de que esta vulnerabilidade está sendo ativamente explorada em meio a ataques de download por unidade contra sistemas que executam o Internet Explorer e o Firefox no Windows 8.1 e inferior.” O Chrome não é mencionado , o que poderia ser porque o sistema PPAPI fornece segurança adicional. Os usuários do Chrome não devem ter uma falsa sensação de segurança, pois isso não protege contra todos os problemas, mas o Chrome é provavelmente o navegador mais seguro para usar o Flash em.
O Chrome inclui um plug-in Flash, mas você também pode fazer o download do plug-in PPAPI para o Chromium ou do Opera no site da Adobe. O Chromium forma a base para o Chrome e o Opera, portanto, os três navegadores devem oferecer os mesmos recursos de segurança para o Flash.
Mantenha o Flash atualizado automaticamente
Certifique-se de manter seu plug-in do Flash atualizado. Isso não protege você dos 0 dias - que não têm um patch liberado, por definição -, mas é uma parte crítica da segurança do plug-in do Flash em seu computador. Quando essas falhas de segurança são corrigidas, você receberá a atualização.
Existem várias maneiras de fazer isso. Se você usa o Google Chrome, o Google inclui o plug-in Flash em sandbox (PPAPI) com o Chrome. ele será atualizado automaticamente com o navegador da Web Chrome, para que você não precise nem pensar nisso.
Se você usa o Internet Explorer no Windows 8 ou no Windows 8.1, a Microsoft também inclui uma versão do plug-in do Flash com o IE. Você receberá atualizações para o Flash para IE do Windows Update junto com suas outras atualizações de segurança.
Se você usa um navegador diferente - Firefox, Opera ou Chromium em qualquer versão do Windows; ou até mesmo o Internet Explorer no Windows 7 ou anterior - você precisará usar o atualizador integrado do Flash. O Flash recomenda que você ative as atualizações automáticas quando instalá-lo, mas verifique se as atualizações automáticas estão realmente ativadas no seu computador..
No Windows, você encontrará essa opção no Flash Player no Painel de controle. Abra o Painel de Controle e procure por "Flash" para encontrar o atalho, ou clique na categoria Sistema e Segurança e role até a parte inferior. Clique no ícone "Flash Player", clique na guia Avançado e verifique se as atualizações automáticas estão ativadas.
Use um navegador diferente ou um perfil de navegador para Flash
Em vez de desinstalar totalmente o Flash ou depender apenas do clique para reproduzir, você pode usar um perfil de navegador separado que tenha o Flash ativado e abri-lo somente quando precisar do Flash.
Por exemplo, se você usa o Firefox a maior parte do tempo, pode desinstalar o próprio Flash e instalar o Google Chrome. Inicie o Google Chrome (que vem com um Flash player incorporado) quando precisar usar o conteúdo em Flash. Ou você pode criar um "perfil" separado (conta de usuário no Google Chrome) no próprio navegador e desativar o Flash apenas no perfil principal, deixando o Flash ativado no perfil secundário. Isso isolaria o Flash em uma área separada do seu navegador principal.
Os plug-ins do navegador são perigosos - na verdade, os plug-ins e a própria arquitetura de plug-in subjacente não foram projetados com a segurança em mente. Java é o pior do grupo, mas até o Flash tem um fluxo interminável de problemas. A boa notícia é que o único plug-in que você provavelmente precisará é o Flash, e a web depende menos dele a cada dia que passa.