adobeflash再次受到攻擊,又是一個“0天”——甚至在有補丁可用之前,一個新的安全漏洞就被利用了。以下是如何保護自己不受未來問題的影響。
一個惡意網站-或一個網站的惡意廣告來自第三方廣告網路-可以濫用這些漏洞之一,以損害您的計算機。
相關:如何在每個Web瀏覽器中啟用單擊播放外掛
理論上可以解除安裝Flash來避免這些問題。它的需求越來越少,甚至連YouTube都在現代網路瀏覽器中完全拋棄Flash來**現代HTML5影片。在最壞的情況下,當你無意中發現某個需要Flash的影片網站時,你可以隨時拿出你的智慧**或平板電腦,使用移動網站——這些網站都是不需要Flash的。
但有時你需要Flash,我們不能建議大多數人完全解除安裝它。如果你真的想安裝Flash的話——很遺憾,你可能真的這麼想了——啟用點選播放是你最好的選擇。這會阻止網站載入他們想要的所有Flash內容。訪問站點時,只需單擊佔位符圖示即可載入特定的Flash元素,如影片。Flash不會自動執行,保護你不受“駕車”攻擊,因為你僅僅是透過訪問一個網站就被感染了。
相關報道:什麼是“零日”攻擊,你如何保護自己?
你不應該使用點選播放白名單,它允許你在某些受信任的網站上自動載入Flash內容。原因如下:
最近的攻擊是在流行影片網站Dailymotion的廣告中發現的。這是一種網站的人會白名單,這樣他們就不需要一個額外的點選每次他們想看一個Dailymotion影片。但將網站列入白名單將允許載入所有Flash內容,包括那些潛在的惡意廣告。使用“單擊播放”(click to play)並僅單擊主影片播放器載入它可以防止此攻擊-單擊播放允許您在頁面上僅載入特定的Flash元素,從而減少您的漏洞。
點選播放並不是靈丹妙藥,因為有些廣告是在影片播放器中釋出的。是的,你可能會被利用從那裡使用某種零天漏洞。但這並不是要避免每一個風險,而是要儘可能地降低風險。
相關:為什麼瀏覽器外掛會消失,是什麼在取代它們
像Flash這樣的瀏覽器外掛從來都不是為了安全而被“沙盒”的,這涉及到在低許可權環境下執行它們,這樣破解Flash的攻擊就無法訪問整個計算機。
Google透過googlechrome中使用的“PPAPI”(或“pepperapi”)外掛系統和構成Chrome基礎的開源Chromium瀏覽器稍微緩解了這個問題。PPAPI提供了額外的沙盒,可以幫助保護您免受漏洞的攻擊。但真正的解決方案是完全替換外掛。
Adobe最近釋出的安全公告指出:“我們注意到有報告稱,在Windows 8.1及以下版本中,透過對執行Internet Explorer和Firefox的系統的“驅動下載”攻擊,該漏洞正被廣泛利用。”Chrome顯然未被提及,這可能是因為PPAPI系統提供了額外的保護安全。Chrome使用者不應該有錯誤的安全感,因為這並不能防止所有的問題——但是Chrome可能是使用Flash的最安全的瀏覽器。
Chrome包含一個Flash外掛,但是您也可以從Adobe的網站下載Chrome或Opera的PPAPI外掛。Chrome是Chrome和Opera的基礎,因此這三種瀏覽器應該為Flash提供相同的安全特性。
一定要保持Flash外掛的更新。這並不能保護您免受0天的攻擊(根據定義,0天沒有釋出修補程式),但這是保護計算機上快閃記憶體外掛安全的關鍵部分。當那些安全漏洞被修補後,你會得到更新。
有幾種方法可以做到這一點。如果您使用Google Chrome,Google會將sandboxed(PPAPI)Flash外掛包含在Chrome中。它會隨著Chrome瀏覽器自動更新,所以你甚至不必考慮它。
如果您在Windows8或Windows8.1上使用InternetExplorer,Microsoft也會提供一個帶有IE的Flash外掛版本。您將收到來自Windows Update的Flash for IE更新以及其他安全更新。
如果你在任何版本的Windows上使用不同的瀏覽器——Firefox、Opera或Chromium,甚至在Windows7或更早版本上使用InternetExplorer——你需要使用Flash的內建更新程式。Flash建議您在安裝時啟用自動更新,但是您應該檢查以確保您的計算機上確實啟用了自動更新。
在Windows上,您可以在控制面板的flashplayer下找到這個選項。開啟控制面板並搜尋“Flash”以找到快捷方式,或單擊系統和安全類別並向下滾動到底部。單擊“Flash Player”圖示,單擊“高階”選項卡,並確保啟用了自動更新。
與完全解除安裝Flash或完全依賴單擊播放不同,您可以使用啟用Flash的單獨瀏覽器配置檔案,並僅在需要Flash時開啟它。
例如,如果你大部分時間使用Firefox,你可以解除安裝Flash本身並安裝googlechrome。當你需要使用Flash內容時,啟動googlechrome(內建Flash播放器)。或者,您可以在瀏覽器本身中建立一個單獨的“配置檔案”(Chrome中的使用者帳戶),並僅在主配置檔案中禁用Flash,而在輔助配置檔案中啟用Flash。這會將Flash隔離在一個獨立的區域,遠離主瀏覽器。
瀏覽器外掛是危險的——實際上,外掛和底層外掛體系結構本身並沒有考慮到安全性。Java是其中最糟糕的一個,但即使是Flash也有一個永無止境的問題流。好訊息是,您可能需要的唯一外掛是Flash,而web對它的依賴與日俱增。
到目前為止,資料洩露不僅對商業企業,而且對消費者和**來說,都是當今最大、最具威脅性的問題之一。隨著網際網路普遍使用的增長,資料洩露以驚人的速度增加。 ...
...意軟體背後的頑固駭客不斷想方設法操縱Google Play商店的安全漏洞,讓偽裝的惡意軟體不被發現。 ...
...。這很好,但是要處理文件,您需要切換到編輯模式。 如何切換到編輯模式 預設情況下,受保護檢視處於開啟狀態。因此,每當你開啟一個源於某個網站或透過電子郵件收到的檔案時,你都會被帶到受保護的檢視。 訊息欄將...
...麼牌子的。 你可能還想考慮一下你使用的配件。不管你如何偽裝你的iPhone,使用亮白色的蘋果耳塞或AirPods仍然可以讓你暴露身份。 不要把它放在小偷容易得到的地方 如果小偷偷了你的**,他們必須能找到它。如果你把它放在一...
...法來保護你的資料。 在今天的課程中,我們將向您展示如何透過加密分割槽、資料夾來保護資料,以及如何使用TrueCrypt建立隱藏卷。 顯然是xkcd拍攝的。 加密分割槽 Ubuntu的備用CD安裝嚮導為我們提供了一個加密Ubuntu安裝分割槽...
...mes的訴訟指控,電子商務巨頭未能在大流行的早期幾個月保護布魯克林和斯塔頓島倉庫的工人免受COVID-19的侵害,並對抱怨缺乏安全措施的員工進行報復。 亞馬遜曾試圖將此案移送聯邦**,辯稱工作場所安全問題不屬...