Ideje megszabadulni a Flash-től!

Annak ellenére, hogy lassan már naponta érkeznek a biztonsági frissítések az Flash-hez, sajnos kijelenthető, hogy egy állandó, potenciális veszélyforrás a kiegészítő. Tucatjával kerülnek napvilágra a különböző 0-day sebezhetőségek, amik valószínűleg csak a jéghegy csúcsát jelentik. Az Adobe szélmalomharcot vív, aminek a vesztesei mi, felhasználók vagyunk.

A közelmúltban bejárta a sajtót a HackingTeam nevű “biztonsági” cég feltörése, aminek kapcsán számos ilyen, eddig foltozatlan hibára derült fény. Bár az Adobe azóta több javítást is kiadott a termékhez, továbbra is újabb ás újabb rések nyílnak a pajzson, amiket a vírusfejlesztők máris elkezdtek kihasználni. Tehát hiába tartod naprakészen a Flash-t, akkor sem vagy biztonságban!

A Flash hibáinak kihasználásával a hacker-ek rögzíthetik a jelszavaidat, más vírusokat tölthetnek a gépedre, anélkül, hogy bármit is észrevennél. Mire a javítás megérkezik, a rosszfiúk már rég kihasználták a hibát és mindig marad a tarsolyukban olyan, amit még nem fedeztek fel a jófiúk. Ráadásul a sebezhetőségek száma nemhogy csökkenne a sok javítás hatására, de évről-évre nő: idén, csak a mai napig már 130-at tártak fel.

Flash sebezhetőségek grafikon
Forrás és további részletek a CVE Details oldalán…

Nem meglepő tehát, hogy egyre többen emelik fel hangjukat a kiegészítő ellen. A napokban a Facebook biztonsági szakértője, Alex Stamos szólította fel az Adobe-t, hogy ideje kitűzni a Flash végének dátumát és megkérni a böngészőgyártókat, hogy ne támogassák tovább a kiegészítőt.

A Mozilla sem hagyta szó nélkül a dolgot, a Firefox legújabb verziójában alapértelmezetten letiltásra került a Flash – bár azt ígérték, ha újra biztonságos lesz, visszaállítják.

Firefox Flash letiltva

A Flash Player régebben nélkülözhetetlen eszköze volt az internetnek, de mára szerencsére a HTML5 elterjedésével ez már nem igaz. A legtöbb nagy videómegosztó gond nélkül használható a kiegészítő nélkül is. Bár továbbra is sok oldal megköveteli a használatát, érdemes megfontolni, hogy megéri-e a kockázatot.

Akinek a biztonsága fontos, távolítsa el a gépéről ezt a veszélyforrást, vagy legalább állítsa át a böngészőjét, hogy csak kattintásra aktiválódjon a plugin.

A Flash Player eltávolítása

A Windows-ban, a Programok hozzáadása és eltávolítása ablakából könnyedén uninstallálhatjuk a telepített Flash-t, de ez nem elég! Néhány böngésző saját beépített, saját verziót használ, amiket külön le kell tiltani. Vegyük sorra a legnépszerűbb böngészőket és nézzük meg mik a teendők:

Google Chrome

A Flash letiltásához írjuk be a böngésző címsorába a chrome://plugins/ címet, keressük meg az Adobe Flash Player bejegyzést, majd kattintsunk a Kikapcsolás-ra.

Flash letiltása Chrome

Ha kikapcsolás helyett, azt szeretnénk hogy csak kattintásra induljon el a kiegészítő (click-to-play), akkor a következőket kell tennünk:

  1. Az előző képen látható beállításnál, vegyük ki a pipát a “Mindig futhat” opció elől.
  2. Nyissuk meg a Chrome beállításait a menüből, a Beállítások panelen görgessünk le a “Speciális beállítások megjelenítése…” opcióig és kattintsunk rá:Chrome Flash click-to-play
  3. Ezután a Tartalombeállítások-at választva, a Plug-inek szekció alatt válasszuk a harmadik opciót:Chrome Flash click-to-play

A böngészőben ezek után csak egy ikon jelenik meg a Flash tartalmak helyén, amik csak akkor töltődnek be, ha rákattintunk.

Mozilla Firefox

A Firefox legújabb verziója, mint fentebb említettük, már alapból blokkolja a plugint, de ha mégsem így lenne, a böngésző beállításainál a Bővítmények fülön keressük meg és válasszuk a “Soha ne aktiválja” illetve a “Rákérdezés az aktiválásra” opciót, annak megfelelően, hogy szeretnénk-e hogy oldalanként kérje az engedélyünket.

Firefox Flash letiltása

Sajnos a Firefox egy-egy frissítés alkalmával néha visszaállítja az itt beállítottakat, ezért alternatívaként javasolt a Flashblock kiegészítő használata, ami szintén lehetőséget ad, hogy egy kattintással engedélyezzük a letiltott tartalmak megjelenítését.

Internet Explorer

Kattintsunk a böngésző jobb-felső sarkában a fogaskerék ikonra, válasszuk a Bővítmények kezelése opciót, a megjelenő ablak bal oldali mezőjében kérjük az összes bővítmény megjelenítését, majd a jobb oldalon válasszuk ki a Shockwave Flash Object-et. Ezután alul a Letiltás gombra kattintva meg is szabadulhatunk tőle.

Flash letiltása Internet Explorer

Ha nem szeretnénk teljesen letiltani, akkor jobb gombbal klikkeljünk rá, válasszuk a “További információ” lehetőséget, a megjelenő ablakban pedig nyomjuk meg az “Összes hely eltávolítása” feliratú gombot:

Flash letiltása Internet Explorer

Ha így teszünk a böngésző minden olyan oldalon rá fog kérdezni a plugin futtatására, ahol szükséges.

Microsoft Edge

A Microsoft új böngészőjének menüjében a Settings, majd a “View advanced settings” opció kiválasztása után kapcsolhatjuk ki a Flash Player futtatását:

Microsoft Edge Flash kikapcsolása

Szeretsz veszélyesen élni?

Akiket még mindig nem sikerült meggyőzni és továbbra is hajlandóak a biztonságukat feláldozni a Flash oltárán, azok legalább a következő néhány tanácsot fogadják meg:

  • Frissíts mindent! A Flash mellett legyen naprakész a Windows is, mert így legalább a már javított sebezhetőségek nem fenyegetnek.
  • Használj minél újabb Windows-t, mert a rendszer korábbi verziói könnyebben támadhatóak. A legutóbb napvilágot látott hibák is elsősorban Windows XP és Windows 7 rendszereken voltak kihasználhatóak, míg pl.: Windows 8.1-en nem.
  • Ha a “click-to-play” megoldás mellett döntöttél, jól fontold meg mely oldalakban bízol meg annyira, hogy engedélyezed a futtatást. Sok esetben az oldalak üzemeltetői sem tudnak róla, hogy fertőzött tartalmat kínálnak, előfordult, hogy ártalmatlannak tűnő, harmadik féltől származó reklámok terjesztették a fertőzést.
  • Használj egy külön böngészőt a bizalmas oldalak látogatására. Pl.: Internet Explorer-t, letiltott Flash-el bankolásra és egy másikat szórakozásra, amiben engedélyezed a kiegészítőt.

Reméljük inkább előbb, mint utóbb teljesen kikopik a használatból ez az elavult kiegészítő, de addig is fogadjátok meg a fenti tanácsokat és netezzetek biztonságosan!

29 hozzászólás érkezett ehhez a poszthoz

  1. Profile photo of pandamacko

    Ennyire azért nem kell megijedni. 🙂
    Nem Mézga géza gépét törték fel, hanem olyan cég rendszerét, akik eleve olyan dolgokba ütik az orrukat amibe nem kellene. Az átlag felhasználót itt is csak a teljes mértékű tudatlansága, és kíváncsisága hozhatja bajba, ha orrvérzésig kattingat mindenhova felelőtlenül. Rengeteg alkalmazás, weboldal használ flasht, ami nélküle lehetetlen lenne használni. Tudjuk, hogy a flas egy rakat …. mégsem tudunk meglenni nélküle. 🙂 Szeretünk e veszélyesen élni? Hmm… Ki hogyan definiálja a veszélyt. Nem ugrálunk le hídról, ha pancsolni támad kedvünk.
    Azonban teljes mértékben egyetértek és bízom benne, hogy akik tudatosan használják a gépeiket, a cikkben leírt jótanácsokat megfogadják.

    Tetszik (1)
    • Profile photo of Cartman

      Milyen Mézga Géza? 0.o
      A HackingTeam-et nem a Flash-en keresztül törték fel, hanem tőlük szerezték meg az információkat, amiket kihasználva át lehet bújni a Flash résein.

      Tetszik (0)
      • Profile photo of pandamacko

        Írhattam volna Madár Pált is, nem a név a lényeg. Az átlag felhasználót, ez nem érinti szorosan. Nekünk nem kell attól tartani, hogy célirányosan minket fog érni támadás. Azok akik megszerezték ezeket az információkat nem kispályások, és nem azzal foglalatoskodnak hogy Juci néni kisnyugdijjas jelszavait, vagy unokáinak a képeit szerezzék meg. 🙂 Az a “biztonsági” cég megéri a pénzét. Pár napja olvastam erről a hírről, És ahogy olvastam, elég durva dogokat műveltek, amire valószínű hogy ez lett a válasz.

        Tetszik (0)
      • Profile photo of Cartman

        @pandamacko akkor a te logikád szerint az átlagfelhasználónak jó az XP és vírusirtó sem kell a gépére, mert úgyse őt támadják, ha jól értelek.

        Tetszik (0)
    • Profile photo of xRow3

      Üdv.
      Tegnap újratelepítettem a gépemet lassan két és fél év után, első lépéseim egyike volt a licenselt vírusírtómat feltelepíteni, aztán a többi cucc, winrar, mozilla, etc. Amint lefrissítettem a flash playert azonnal ad-vírusok hada lepte el a gépemet, amikkel csak egy teljes formatálás után tudtam elbánni, kb. 3 órányi vírusvadászás közben. Nem elég, hogy az idegesítő hírdetéses programok kerültek a gépemre, de még CPU és GPU miner program is volt a system32 mappámban (printscreen ). Gotta love those bitcoins, right? Ami a cikkben van leírva, az akár az olyanok számára is hasznos lehet, akik tudják, hogy mit csinálnak , és ‘tudatosan használják a gépeiket’. Szumma szummárum tényleg nem biztonságos a flash player, ha lehet, kerüljétek.

      Tetszik (1)
  2. Profile photo of pandamacko

    Nem ezt írtam. De ezekszerint csak átfutottál a hozzásólásomon, és kiragadtál pár szót. Hadd ne kelljen újra lepötyögnöm. 😉
    Mind a mai napig használok XP-t is. Írtad hogy “szeretünk e veszélyesen élni?” Nem, nem szeretünk veszélyesen élni. Azonban átlagfelhasználóként rá vagyunk kényszerülve bizonyos programokra. A mindennapos böngészési szokásaink elengedhetetlenné teszik, hogy flash playert használjunk egyes oldalakhoz. Akik ismerik a programot szintén tisztában vannak vele hogy alapvetően hibás konstrukció, de mivel nincs más lehetőség, így használjuk. Vírusírtóról egy szót se írtam hogy nem kell, nemtudom mi alapján feltételezted, hogy ezt szeretném kihozni belőle. Mint írtam, egyetértek vele hogy védeni kell a gépet, de ezzel az erővel a rendszert is törölhetném, hiszen egyes megátalkodott win ellenes pingvin rajongók szerint állítólag az is veszélyes.

    Tetszik (1)
    • Profile photo of knor1982

      “Mint írtam, egyetértek vele hogy védeni kell a gépet,”
      az alapvető védelem ott kezdődik, hogy nem futtatok mindent ész nélkül, nem kattintok automatikusan a tovább gombra, frissen tartom a programjaimat. És: ha csak lehet, nem használok olyan régi oprendszert, mint az XP (15 éves, jelen korban -3 (de mindjárt -4.) generációs oprendszer, amelyhez már támogatás sem jár.)

      “Nem Mézga géza gépét törték fel, hanem olyan cég rendszerét, akik eleve olyan dolgokba ütik az orrukat amibe nem kellene. ”
      Ez nem tök mindegy, ha ezáltal támadhatóvá válik sokak számára minden számítógép, mely rendszere tartalmazza ezen lyukakat? Épp elég, ha egy átlagfelhasználótól szereznek mondjuk hitelkártya adatokat. Vagy neked az nem számítana? Vagy a gépét a résen keresztül felhasználják bármely más szervezet/rendszer elleni támadáshoz.
      (Sokaktól hallottam már, mikor feltört oprendszer mellett érvelnek, hogy “nekem nincsenek titkaim, tőlem nyugodtan bejárhatnak a gépemre”.)

      “Nem ugrálunk le hídról, ha pancsolni támad kedvünk.”
      Persze, te nem ugrasz le, ámbár lehet, hogy valaki kihasználva a biztonsági rést a hátad mögé lopakodik és lelök a hídról. Az jobb?

      “de mivel nincs más lehetőség, így használjuk”
      fontos, hogy valóban csak akkor használjuk, ha tényleg kell az általa megjelenített tartalom/funkció. Tehát a mozilla megoldása üdvös, hogy már alapból letiltja, csak a felhasználó engedélyezheti azokon az oldalakon ahol szüksége van rá.
      Ez az alapból tiltás viszont már arrafelé löki a fejlesztőket, hogy más technológiával alakítsák ki weboldalukat (pl. YT videók már alapból HTML5-ös lejátszóval jelenítődnek meg), így egy idő után annyira kikopik a webről, hogy nyugudtan és véglegesen meg lehet szüntetni.

      Tetszik (2)
  3. Profile photo of r0b33

    Az a helyzet, hogy úgy vélem mindkettőtöknek van igaza.
    Mind a mai napig a legnagyobb biztonsági rés nem a különböző alkalmazások, és kiegészítőik átjárhatósága, hanem maga a felhasználó. Nagyon sokan azt hiszik felrak öt vírusölőt, három tűzfalat, négy kémprogram kergetőt, és két reklámblokkolót, és azt csinál amit akar. Aki vírust akar juttatni a gépére az akkor is meg fogja találni a módját a felhasználó viselkedésén keresztül.
    A másik nagy igazság – és ezt kéretik nem lesarkosítani – egy olyan hackernek aki már olyan magas szintű tevékenységekre képes, nem az egyszerű user gépét fogja támadni. Miért mert nem “tétel”. A hackereknek is szükségük van az elismerésre tehát egy NASA vs. Gipsz Jakab meccset nem ez utóbbi nyerné célpontként. Visszautalva a mondandóm elejére Gipsz úr “feltöri” a saját gépét a viselkedésén keresztül… Aki meg olyan kis “hal”, hogy Gipsz úr gépét törögesse, az meg csak bosszantani tud, nagy kárt okozni nem, vagy csak kicsi valószínűséggel.

    Tetszik (1)
    • Profile photo of Cartman

      “nem az egyszerű user gépét fogja támadni”
      Az a baj, hogy az ilyen sebezhetőséget nem csak célzott támadásokra használják. Miután kikerül a netre egy sebezhetőség, az összes köcsög vírusfejlesztő belepakolja a saját cuccába, aztán hirtelen tömegével lepik el a netet a legkülönbözőbb vírusok, ugyanazt a hibát kihasználva. És tévedés, hogy az átlagfelhasználókra nem utaznának, hiszen egy bitcoin miner, vagy egy ransomware pont őket keresi, mert csak úgy profitálhatnak, ha minél nagyobb réteget érnek el.
      “csak bosszantani tud, nagy kárt okozni nem”
      Egy ransomware, ha letitkosítja az összes adatot a gépen, vagy egy keylogger ellopja a bankod jelszavát és leszedi a pénzed, az elég nagy kár szerintem.
      De említhetném azt az esetet is, amikor egy ember majdnem börtönbe került, mert egy nyamvadt kis vírus gyerekpornó terjesztésére használta a gépét:
      http://www.nytimes.com/2003/08/11/technology/11PORN.html
      Szóval ne nyugtassátok magatok azzal, hogy az átlagfelhasználóra nem utaznak.

      Tetszik (3)
      • Profile photo of r0b33

        megértem amit mondasz, és mint mondottam volt igazad is van…
        de hidd el: mindezekhez nagyban hozzájárul maga az user is (lásd pl. az “újabban” a telepítőkbe integrál “reklámok”, amelyek vagy egy hihetetlen hasznos appot dob fel a gépedre, vagy támogatást kér egy-egy videóhoz lájk formájában stb…) ha az user úgy telepít, hogy “next…next…next…done” már meg is van a baj. Az addig rendben van hogy az EULA-t senki nem olvassa, de azért egy minimális körültekintés nem árt, például semmit ne telepíts “expressz” telepítéssel, hanem mindig járd végig a teljes telepítés menetét, még akkor is, ha nem módosítasz semmin (általában az expressz telepítések bombáznak mindenfélével)…
        – bankolás és keylogger nem tudom, hogy más bankoknál hogy működik, de pl az enyém egy netfüggetlen azonosítást is kötelezővé tett (SMS) és minden netbank műveletet megerősíttet az így kapott egyszeri kóddal. lehet, hogy körülményes, de keyloggerbarát. azon kívül csak privát módban végzek ilyesmit.
        – ransomware… vannak elég nagy felhők és vannak külső meghajtók. tanuljunk már meg archiválni. (főleg hogy ma már minden működik fogd és vidd módon)
        – gyerekpornó… ok, hogy az emberünk az említett vádban ártatlan, de:
        1.) biztos, hogy valami nem teljesen legális úton “szerezte be” azt a vírust – warezolt, és itt most nem azzal van a baj, hogy warez, hanem azzal hogy akkor legalább megbízható helyről tegye.
        2.) gyanítom volt vírusölő meg tűzfal a gépen – ha volt, ennyit ér, ha nem volt akkor megint az user a hunyó…
        szóval icipicit nagyobb körültekintéssel sokkal több mindent meg lehet úszni, mint arra bízni magunkat, hogy vannak ellenanyagaink, és naprakészek vagyunk.

        Tetszik (0)
      • Profile photo of Cartman

        @r1b33 A felhasználó felelősségét nem is vitattam egy szóval sem.

        Tetszik (0)
  4. Profile photo of 4hellcat

    Sziasztok!
    Tényleg le tiltja a firefox, még akkor is ha meg jegyeztetem vele. Nem értettem miért ,most már tudom. Köszi.
    De mit használjak helyette? Én online nézek filmeket, és van néhány olyan oldal ami kéri, de ezek biztonságos oldalak, blogok.
    A shockwawe flash, és a shckwawe for director van fent.
    Van a firefoxnak 2 új kiegészítője, de nem egészen értem, mire is valók. hiába van le írva,igazából nem is foglalkoztam vele, letiltottam őket.
    Ez az egyik: https://support.mozilla.org/hu/kb/drm-tartalom-lejatszasa-firefox-ban?as=u&utm_source=inproduct
    Ez a másik: http://www.openh264.org/ chrome://mozapps/content/extensions/OpenH264-license.txt
    A java is állandóan le van tiltva, nem is értem miért kéri!

    Tetszik (0)
  5. Profile photo of pimi

    Ha valakinek üldözési mániája van, nem biztos, hogy nem üldözik. Az alapvető gondosság persze kötelező, de ne váljunk paranoiássá, mert az megmérgezi a napjainkat. Minden ellen nem lehet, és nem is szabad védekezni. Nem vagyok fatalista, de a pofon úgyis mindíg a másik oldalról ér. Volt egy ismerősöm, aki a lakésa ajtaját páncéloztatta, bekamerázta, riasztó a rendőrségra, stb, aztán a háza kapuja előtt elütötte egy motoros…

    Tetszik (1)
  6. Profile photo of

    Jobs is hogy utálta.. https://sg.hu/cikkek/74105 Egyébként youtube-on az 50/60 FPS-es videókat is max 30-on futtatja. Érdekes, de míg a Macromedia kezében volt, mintha nem lett volna ennyire bugos, vagy legalábbis nem nagyon esett szó róla.

    Tetszik (0)
  7. Profile photo of otony

    Nos töröltem a flash playert 🙂
    Ekkor jött a meglepetés!
    Az UniCredit Bank internet bankját nem lehet használni flash nélkül !
    Ezek szerint ök nem olvassák a DW-t 🙁

    Tetszik (1)
  8. Profile photo of Inhibace

    Sziasztok Szakik!

    Jelen helyzetben mi a teendő a Shockwave Player-rel? Az is veszélyes? Nem értek hozzá, ezért kérdezem. Köszönöm

    Tetszik (0)

Szólj hozzá a cikkhez