La misma historia de siempre, no? Parece que no pasa un mes, en el que no se vuelva a encontrar otra vulnerabilidad crítica en Flash o Adobe Reader. Este nuevo 0 day Exploit, según reportes de Adobe, puede causar un cuelgue y potencialmente permitir al atacante tomar control sobre el sistema afectado. Este problema afecta a todas las versiones de Flash (10.1.82.76 e inferior para todos los OS de escritorio, y 10.1.92.10 para Android).

Desde hace ya algún tiempo, en congresos de seguridad como el Pwn 2 Own queda claro que la manera más simple de tomar control sobre una PC, es a través de los navegadores y plugins como Flash, que siempre muestran terribles fallos de seguridad. Según uno de los tips dejados por Charlie Miller (en el Artículo Consejos de Seguridad para los Nuevos Sistemas Operativos)

La mayoría de vulnerabilidade se encuentran en los navegadores web (Firefox, IE, Chrome) (Miller ganó los dos años consecutivos al encontrar un agujero no parchado en Safari en la Mac) y los navegadores más populares corren, finalmente, en todos los sistemas operativos.

 

Yo he decidido, hace meses, bloquear Flash de todos los navegadores en mis PCs. Lamentablemente es imposible deshacernos de Flash por completo (muchos sitios todavía lo utilizan), pero mantenerlo bloqueado hasta que realmente lo necesitemos, es de momento la mejor opción

 

Qué hacer?

Parece que Adobe recién lanzará un parche recién el 27 de Setiembre para Flash, y 4 de Octubre para Reader y Acrobat. Hasta entonces, nuestras PCs corren riesgo. Por supuesto, este riesgo disminuye si entramos a webs conocidas.

La mejor alternativa, por supuesto, es desinstalar Flash. De esta manera, estaremos seguros de que la manera más común de que otras personas tomen el control de nuestra PC, a través de un plugin defectuoso en nuestros navegadores, quede cerrado.

Lamentablemente, esto, en muchos casos, no es una opción. A pesar de que la mayoría de websites principales como YouTube, Vimeo, DailyMotion están dando el salto a videos en HTML5, todavía quedan bastantes websites que dependen de este plugin para mostrar video. O al menos, nos fuerzan a tener Flash, a pesar de que la página móvil, vista desde un iPhone o teléfono Android, funciona perfecto sin Flash.

Otro gran problema es que Chrome incluye a Flash Player en su instalación, así que a veces, incluso si lo eliminamos de nuestro sistema, Chrome mantiene a Flash para su uso. Y sí, el Flash de Chrome también es vulnerable al ataque.

 

Screen shot 2010-09-14 at 11.19.43 AM

La segunda mejor opción, entonces, es evitar que Flash se ejecute a menos que lo vayamos a necesitar. Es algo enteramente posible en la mayoría de navegadores que acepta extensiones (Firefox, Chrome, Safari), y es algo que, dadas las circunstancias, deberíamos hacer. De esta manera, evitaremos que Flash se ejecute automáticamente y sólo cuando nos hayamos asegurado de que se trata de un sitio seguro (Youtube, o este blog, por poner un ejemplo) le daremos click al ícono para permitir que Flash se ejecute.

 

Dada la dependencia de la web en Flash, la única solución que tenemos a mano, por el momento, es ésta: la de deshabilitar Flash momentáneamente, y activarlo cuando sea necesario. Esperemos que la transición a una web con videos libres de Flash llegue cuanto antes, para por fin librarnos del plugin (al menos, cuando de videos se trata)

  • chilindrino

    Dude… pwn 2 own es un concurso no un congredo como mencionas. Que el concurso se haga en un congreso es algo muy diferente no crees?
    :

  • Marco

    Lo sabia… lo presentia…

    Flash is Trash

  • @chilindrino
    Typo. Gracias por la corrección, ahora la hago 🙂