Trang web độc hại - hoặc trang web có quảng cáo độc hại từ mạng quảng cáo của bên thứ ba - có thể lạm dụng một trong các lỗi này để xâm phạm máy tính của bạn.
Bật nhấp để phát (hoặc Gỡ cài đặt Flash hoàn toàn)
Bạn về mặt lý thuyết có thể gỡ cài đặt Flash để tránh những vấn đề này. Nó cần ít hơn và ít hơn, thậm chí YouTube bán phá giá Flash hoàn toàn cho video HTML5 hiện đại trong các trình duyệt web hiện đại. Trong trường hợp xấu nhất khi bạn vấp phải một số trang video yêu cầu Flash, bạn luôn có thể kéo điện thoại thông minh hoặc máy tính bảng của mình và sử dụng trang web dành cho thiết bị di động - những trang web được xây dựng không có Flash.
Nhưng đôi khi bạn cần Flash và chúng tôi không thể khuyên hầu hết mọi người gỡ cài đặt hoàn toàn. Nếu bạn muốn cài đặt Flash - và bạn có thể làm, thật đáng buồn - cho phép nhấp để phát là tùy chọn tốt nhất có sẵn cho bạn. Điều này ngăn các trang web tải tất cả nội dung Flash mà họ muốn. Khi bạn truy cập trang web, bạn có thể chỉ cần nhấp vào biểu tượng trình giữ chỗ để tải phần tử Flash cụ thể - chẳng hạn như video. Flash sẽ không tự động chạy, bảo vệ bạn khỏi các cuộc tấn công “lái xe”, nơi bạn bị lây nhiễm chỉ đơn giản là truy cập một trang web.
Nhưng đừng bôi trắng bất kỳ trang web nào!
Bạn không nên sử dụng danh sách trắng nhấp để phát, cho phép bạn tự động tải nội dung Flash trên một số trang web đáng tin cậy nhất định. Đây là lý do tại sao:
Cuộc tấn công gần đây đã được phát hiện trong quảng cáo trên Dailymotion, một trang web video phổ biến. Đây là loại trang web mọi người sẽ đưa vào danh sách cho phép để họ không cần nhấp chuột bổ sung mỗi khi họ muốn xem video Dailymotion. Nhưng danh sách trắng trang web sẽ cho phép tải tất cả nội dung Flash, bao gồm cả những quảng cáo có khả năng gây hại đó. Sử dụng nhấp để phát và chỉ cần nhấp vào trình phát video chính để tải nó sẽ ngăn chặn cuộc tấn công này - nhấp để phát cho phép bạn chỉ tải các phần tử Flash cụ thể trên một trang, giảm lỗ hổng của bạn.
Nhấp để phát không phải là thuốc chữa bách bệnh, vì một số quảng cáo được phân phối bên trong trình phát video. Có, bạn có khả năng có thể bị khai thác từ đó bằng cách sử dụng một số loại lỗ hổng zero-day. Nhưng đó không phải là tránh mọi rủi ro - đó là giảm thiểu rủi ro càng nhiều càng tốt.
Sử dụng Chrome, Chromium hoặc Opera cho Flash Sandbox
Các trình cắm của trình duyệt như Flash chưa bao giờ được tạo thành "hộp cát" để bảo mật, liên quan đến việc chạy chúng trong môi trường quyền thấp để các cuộc tấn công có thể khiến Flash không thể truy cập vào toàn bộ máy tính của bạn.
Google đã giảm nhẹ vấn đề này một chút với hệ thống plug-in “PPAPI” (hoặc “Pepper API”) được sử dụng trong Google Chrome và trình duyệt Chromium nguồn mở làm cơ sở cho Chrome. PPAPI cung cấp thêm hộp cát, có thể giúp bảo vệ bạn khỏi các lỗ hổng bảo mật. Nhưng giải pháp thực sự đang thay thế hoàn toàn plug-in.
Bản tin bảo mật gần đây của Adobe lưu ý: “Chúng tôi nhận thức được báo cáo rằng lỗ hổng này đang được khai thác một cách tích cực trong tự nhiên thông qua các cuộc tấn công tải xuống bằng các hệ thống chạy Internet Explorer và Firefox trên Windows 8.1 trở xuống.” Chrome không được đề cập rõ ràng, có thể là do hệ thống PPAPI cung cấp bảo mật bổ sung. Người dùng Chrome không nên có ý thức bảo mật giả, vì điều này không bảo vệ được mọi vấn đề - nhưng Chrome có lẽ là trình duyệt an toàn nhất để sử dụng Flash.
Chrome bao gồm plugin Flash nhưng bạn cũng có thể tải xuống trình cắm PPAPI cho Chromium hoặc Opera từ trang web của Adobe. Chromium tạo cơ sở cho cả Chrome và Opera, do đó, ba trình duyệt sẽ cung cấp các tính năng bảo mật giống nhau cho Flash.
Tự động cập nhật Flash
Đảm bảo cập nhật plugin Flash của bạn. Điều này sẽ không bảo vệ bạn khỏi 0 ngày - không có bản vá được phát hành theo định nghĩa - nhưng đó là một phần quan trọng trong việc đảm bảo plugin Flash trên máy tính của bạn. Khi các lỗ hổng bảo mật đó được vá, bạn sẽ nhận được bản cập nhật.
Có nhiều hướng khác nhau để làm điều đó. Nếu bạn sử dụng Google Chrome, Google sẽ bao gồm plugin Flash có hộp cát (PPAPI) với Chrome. nó sẽ tự động cập nhật cùng với trình duyệt web Chrome, do đó bạn thậm chí không phải suy nghĩ về nó.
Trên Windows, bạn sẽ thấy tùy chọn này trong Trình phát Flash trong Bảng điều khiển. Mở Control Panel và tìm "Flash" để tìm lối tắt hoặc nhấp vào danh mục System & Security và cuộn xuống dưới cùng. Nhấp vào biểu tượng “Trình phát Flash”, nhấp vào tab Nâng cao và đảm bảo các cập nhật tự động được bật.
Sử dụng Trình duyệt khác hoặc Hồ sơ trình duyệt cho Flash
Thay vì gỡ cài đặt hoàn toàn Flash hoặc chỉ phụ thuộc vào nhấp để phát, bạn có thể sử dụng hồ sơ trình duyệt riêng biệt đã bật Flash và chỉ mở nó khi bạn cần Flash.
Ví dụ: nếu bạn sử dụng Firefox hầu hết thời gian, bạn có thể gỡ cài đặt Flash và cài đặt Google Chrome. Khởi chạy Google Chrome (đi kèm với trình phát Flash tích hợp) khi bạn cần sử dụng nội dung Flash. Hoặc, bạn có thể tạo "hồ sơ" riêng biệt (tài khoản người dùng trong Chrome) trong chính trình duyệt và chỉ tắt Flash trong hồ sơ chính của bạn, để Flash được bật trong tiểu sử phụ. Điều này sẽ tách Flash trong một khu vực riêng biệt khỏi trình duyệt chính của bạn.
Trình cắm của trình duyệt nguy hiểm - thực sự, các trình cắm thêm và kiến trúc trình cắm thêm cơ bản không được thiết kế với sự bảo mật. Java là tồi tệ nhất của nhóm, nhưng ngay cả Flash có một dòng không bao giờ kết thúc của các vấn đề. Tin tốt là plugin duy nhất bạn có thể cần là Flash và web phụ thuộc vào nó ít hơn với mỗi ngày trôi qua.
