26

Uważajcie na Flash Playera, ten wciąż nie jest bezpieczny

Historii niebezpiecznego oprogramowania od Adobe ciąg dalszy. W ubiegłym miesiącu mówiło się o luce, która pojawiła się również w środowisku AIR - przy jej pomocy można było przejąć kontrolę nad komputerami. Wtedy chodziło głównie o Maki, tymczasem znaleziono kolejne niebezpieczeństwo we Flash Playerze, tym razem dotykające posiadaczy PC.

Adobe informuje jednak o tym, że luka może dotyczyć wszystkich platform, użytkownicy OSX i Linuxa nie powinni więc go bagatelizować. Tym samym firma namawia do jak najszybszej aktualizacji FP, celem uniknięcia ewentualnych problemów.

Flash Player wciąż dziurawy

Lukę we wtyczce Adobe wykorzystuje ransomware, dzięki czemu atakuje PC-ty z systemem Windows. Narażonych jest jednak około miliarda urządzeń. Wspomniany ransomware jest w stanie zaszyfrować Wasze dane, zablokować komputer, a następnie zażądać „okupu” wysokości 200-600 dolarów. Najgorsze jest jednak to, że japońska firma zajmująca się tworzeniem programów zabezpieczających – Trend Micro Inc – ostrzegała Adobe, że posiada w swojej wtyczce luki – wspominała o ransomware Cerber jeszcze 31 marca.

Flash Player to wtyczka do przeglądarek internetowych, dzięki której można wyświetlać niektóre rodzaje treści multimedialnych na stronach internetowych. Jest to już technologia przestarzała i zarówno Apple, jak i Google już ją w wersjach mobilnych porzuciły – podobnie jak twórcy stron internetowych, którzy coraz częściej wspierają się na przykład HTML 5. Problemy z dziurami we Flash Playerze też nie są nowe i od lat dowiadujemy się o kolejnych lukach, które łatane są za pomocą kolejnych aktualizacji. Niestety nawet dbanie o to, by wtyczka była aktualna nie gwarantuje bezpieczeństwa. Rozwiązanie? Pożegnanie się z Flash Playerem wydaje się najrozsądniejszym pomysłem.

O Flashu pisał w połowie ubiegłego roku Tomek i gorąco zachęcam do zapoznania się z tym artykułem.

grafika

źródło

  • sln

    A jak pożegnać się z Flashem w Chrome? Jest wbudowany…

    • trojmiasto

      about://plugins –> flash –> disable/wyłącz

    • ja

      ale to chyba nie ten sam flash co od adobe i raczej nie ma tych samych dziur bo to nie jest ich wtyczka tylko implementacja googla

    • marcinsud

      W chrome jest flash od adobe

  • Piotr Piter

    Niestety ale w Chrome nie mogę się pożegnać z flashem

    • Paweł Winiarski

      tak, jak napisał wyżej trojmiasto – wpisać chrome://plugins w pasku adresu, co wyświetli listę aktywnych wtyczek. Zlokalizować Flash Playera i wyłączyć.

    • Piotr Piter

      Mam jeszcze jedno pytanie, czy chrome automatyczne aktualizuje do najnowszej wersji flash?

    • technomaniac66

      a aktualizacją Chrome przychodzi aktualizacja flasha automatycznie (jest wbudowany) – więc w momencie, w którym aktualizuje Ci się Chrome, aktualizuje Ci się też flash

  • zakius

    od jakiegoś czasu mimo braku aktualizacji z dnia na dzień coraz gorzej działa c:

  • Gobelin

    Można ostatecznie ustawić uruchamianie wtyczki „na żądanie” (każda, normalna przeglądarka to umożliwia), jeżeli gdzieś koniecznie potrzebujemy Flasha.

    • Czyżyk

      Byłaby to fajna opcja jeżeli dotyczyłaby tylko Flash Playera, bo klikanie, aby włączyć pozostałe wtyczki jest więcej niż wkurzające.

    • Firefox na to pozwala.

    • ja

      raczej to jest fajna opcja i w ff mozesz kazda wtyczke ustawic z osobna na zawsze aktywuj, pytaj o aktywacje, wylacz
      zreszta lepiej klikna kilka razy wiecej i wiedziec co sie dzieje niz nie kliknac i miec od razu problem

  • gregory003

    Flash jest mniej niebezpieczny niż silniki JavaScript w przeglądarkach i kod „HTML5” osadzany na stronach. Flasha da się wyłączyć, tych drugich nie.

    • Feyd

      Doczytaj a potem praw głupoty. kod „HTML5” -> cokolwiek dziś brałeś na pewno nie było legalne.

    • gregory003

      To ty doczytaj tłuku. HTML5 definiuje także standard skryptów. Właściwie HTML5 to przede wszystkim ECMA, bo tu są największe różnice w stosunku do specyfikacji HTML4.

    • Feyd

      Widze, że szurasz nadal po dnie. Doczytaj jak działa maszyna JS w przeglądarce. Potem sie wypowiadaj.
      Co ma ECMA do sandboxa?

    • gregory003

      To raczej ty pajacu ciągle robisz z siebie cyrki. ECMA (a właściwie ECMAScript) to standard JS przyjęty przez Ecma International i będący podstawą standardu skryptów HTML5.

      Maszyna w przeglądarkach działa tak samo jak maszyna Javy (Java Security Architecture to też sandbox) czy interpreter Flash (Pepper Flash też w sandboxie) – niby cudowne i bezpieczne, a i tak dziura na dziurze. Tylko wszyscy twórcy przeglądarek zachwalają teraz JS, a gnoją Flash i Javę bo taka moda. A faktycznie różnica pomiędzy nimi jest żadna, chociaż Java jest znacznie wydajniejsza.
      Za kilka lat wyjdzie znów coś nowego (WebAssembly?) i znów zaczną przekonywać że „ten JavaScript to dziurawy jest i trzeba szybko porzucić, za to nowy standard cud-miód”.

      Zresztą co to za „sandbox”, skoro istnieją rozszerzenia na Firefoxa i Chrome (pisane w JS właśnie), których możliwości (m.in. uruchamiania dowolnego programu zainstalowanego w systemie i przekazywania mu danych, choćby Video Assistant) jasno pokazują że ten sandbox izolujący działanie aplikacji w interpreterze JS od systemu to zwykła fikcja.

      Więc nie rób już dziś z siebie głupka – 2x dziennie wystarczy.

    • Feyd

      > Maszyna w przeglądarkach działa tak samo jak maszyna Javy (Java Security Architecture to też sandbox) czy interpreter Flash (Pepper Flash też w sandboxie) – niby cudowne i bezpieczne, a i tak dziura na dziurze. Tylko wszyscy twórcy przeglądarek zachwalają teraz JS, a gnoją Flash i Javę bo taka moda.

      Rożnica misu jest taka, że model maszyny zakłada lepsze odseparowanie od sprzętu. Flash i Java mają bogate API do grzebania na akcelerowanych sprzetowo komponentach. Niestety dla usera, Java i Flash to ciała obce dla przeglądarki. I natym polega różnica.

      > Za kilka lat wyjdzie znów coś nowego (WebAssembly?) i znów zaczną przekonywać że „ten JavaScript to dziurawy jest i trzeba szybko porzucić, za to nowy standard cud-miód”.

      Już jest (http://beta.unity3d.com/jonas/AngryBots/), ale założenia WebAssembly są w miare rozsądne. Zmierzamy do czasów, że przegladarka to system. Producent odpowiada w pełni.

      > Zresztą co to za „sandbox”, skoro istnieją rozszerzenia na Firefoxa i Chrome (pisane w JS właśnie), których możliwości (m.in. uruchamiania dowolnego programu zainstalowanego w systemie i przekazywania mu danych, choćby Video Assistant) jasno pokazują że ten sandbox izolujący działanie aplikacji w interpreterze JS od systemu to zwykła fikcja.

      Jak user zezwoli to cóż zrobić.

    • gregory003

      „Rożnica misu jest taka, że model maszyny zakłada lepsze odseparowanie od sprzętu. Flash i Java mają bogate API do grzebania na akcelerowanych sprzetowo komponentach. Niestety dla usera, Java i Flash to ciała obce dla przeglądarki. I natym polega różnica.”
      Widzę kolega „internetowy informatyk”. Większego bełkotu nie dało się wymyśleć?

      „Zakłada lepsze odseparowanie…”. Wtyczki Java i Flash też „zakładały”.

      „Java i Flash to ciało obce…” a tego voodu już nawet sie komentować nie chce. Cóż, są na świecie ludzie (tzw. audiofile), którzy wierzą w kierunkowość kabli, są też tacy którzy pieprzą o „ciałach obcych”, bo wg. nich IT Voodu nie lubi „ciał obcych” i „czary się dzieją” tylko jeśli to „ciało swoje”. Trudno – trzeba się z tym pogodzić.

      „Jak user zezwoli to cóż zrobić.”
      A co to za „sandbox”, który można opuścić jesli nieświadomy uzytkownik pobierze (bez żadnego ostrzeżenia) z OFICJALNEGO MARKETU nieodpowiednie rozszerzenie? Czyli żadnego sandboxa jednak nie ma a są tylko „założenia”?

      „Zakładamy” że stworzymy interpreter JS, który może robić to samo co dotychczasowe wtyczki Javy i Flasha i jednocześnie „zakładamy” że nikt tego nie wykorzysta w nieodpowiedni sposób i w ten oto sposób „zakładamy” istnienie jakiegokolwiek sandboxa?

  • Jeżeli chodzi o Flasha, to wiele Polskich stron na nim chodzi – ale to raczej dlatego, że wiele zostało technologicznie w latach 2007-2008, czyli wtedy kiedy powstały (ta moda na tworzenie pierdyliona bezsensownych stron – patrz o2, GG czy Pino). Jeżeli ktoś czuje się patriotą (tzn. używa wyłącznie polskich stron) to bezwzględnie musi mieć Flasha (po 2010 Polscy programiści przestali robić i/lub aktualizować potrzebne strony na rzecz bezsensownych startupów, a w tym samym roku właśnie zaczęła się walka z Flashem)

    • ja

      he he niby tak ale bez niego generalnie juz da sie zyc za to ile uzywa silvelight-a bez mozliwosci przelacenia sie na html5 to dopiero porazka :)

  • matmaker

    ” Niestety nawet dbanie o to, by wtyczka była aktualna nie gwarantuje
    bezpieczeństwa. Rozwiązanie? Pożegnanie się z Flash Playerem wydaje się
    najrozsądniejszym pomysłem.”

    Niestety nawet dbanie o to, by system Windows była aktualny nie gwarantuje
    bezpieczeństwa. Rozwiązanie? Pożegnanie się z systemem Windows wydaje się
    najrozsądniejszym pomysłem.

    Niestety nawet dbanie o to, by zamek w drzwiach był nowoczesny nie gwarantuje
    bezpieczeństwa. Rozwiązanie? Pożegnanie się z zamkiem w drzwiach wydaje się
    najrozsądniejszym pomysłem.

    Niestety nawet dbanie o to, by serwis Antyweb miał same mądre artykuły nie gwarantuje, że tak będzie. Rozwiązanie? Pożegnanie się z serwisem Antyweb wydaje się
    najrozsądniejszym pomysłem.

    • technomaniac66

      akurat to zdanie jest prawdziwe i zastosowało je większość programistów:

      Niestety nawet dbanie o to, by system Windows była aktualny nie gwarantuje
      bezpieczeństwa. Rozwiązanie? Pożegnanie się z systemem Windows wydaje się
      najrozsądniejszym pomysłem.

    • qwerty

      Wszystkie zdania kolegi matmaker są prawdziwe.

  • Szymon L

    „Uważajcie na Flash Playera, ten wciąż nie jest bezpieczny”
    Uważajcie też na wodę, wciąż można się w niej utopić.