skip to main | skip to sidebar
9 commenti

Ennesima falla in Flash, attacchi in corso: che fare?

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/11 17:20. Link breve: http://tinyurl.com/blocca-flash.

Ieri (2 giugno) è stato pubblicato un altro aggiornamento di Adobe Flash che chiude ben diciotto falle di sicurezza, alcune delle quali permettono ai criminali informatici di prendere il controllo dei computer Windows, OS X e Linux semplicemente convincendo i loro proprietari a visitare un sito appositamente confezionato.

Secondo Adobe, almeno una delle falle chiuse con quest'ultimo aggiornamento viene già sfruttata attivamente: non si tratta quindi di un rischio teorico ma di una minaccia concreta.

Nei giorni scorsi sono stati segnalati attacchi che sfruttano le falle di Flash attraverso le pubblicità presenti in siti popolari come Dailymotion e altri, per cui non si può neanche proporre di ridurre il rischio evitando di visitare siti discutibili o poco conosciuti. Occorre aggiornarsi: per sapere se state usando la versione più aggiornata di Flash, visitate la pagina apposita di Adobe con ciascuno dei browser che usate.

C'è, tuttavia, chi suggerisce di disinstallare completamente Flash dai computer, soprattutto ora che molti dei siti più popolari di Internet funzionano anche senza: è il caso, per esempio, di Youtube, che ora mostra i video senza dover ricorrere al software di Adobe. Molti dispositivi mobili, come gli iPod touch, gli iPhone e gli iPad di Apple, non lo supportano affatto e vivono bene lo stesso.

Un'altra possibilità per ridurre il rischio anche per il futuro è impostare i browser in modo che non lancino Flash automaticamente ma lo facciano soltanto se l'utente lo consente esplicitamente. Per non essere assillati da continue richieste di permesso di lanciare Flash, si possono anche definire siti ritenuti sicuri, nei quali Flash verrà eseguito automaticamente:

– Firefox 39: Strumenti - Componenti aggiuntivi - Plugin; impostate Shockwave Flash a Chiedi prima di attivare. Per abilitare un sito all'avvio automatico di Flash, si visita il sito in questione e si clicca su Attiva e poi su Consenti sempre. Per revocare un'abilitazione, si va in Strumenti - Informazioni sulla pagina - Permessi  e si sceglie Utilizza predefiniti (oppure Blocca se lo si vuole bloccare permanentemente).

– Chrome 49.0.x (2016/03): Impostazioni (chrome://settings o l'icona con le tre righe orizzontali in alto a destra) - Mostra impostazioni avanzate (in basso) - Privacy - Impostazioni contenuti - Plug-in - Fammi scegliere quando eseguire i contenuti dei plug-in. La gestione dei siti nei quali si vuole autorizzare l'esecuzione automatica di Flash è accessibile cliccando su Gestisci eccezioni. Chrome chiederà di digitare Ctrl-clic e di scegliere Esegui questo plug-in sui siti non preautorizzati.

– Safari 9.0.3 (2016/03): Preferenze - Sicurezza - Plugin Internet: cliccare su Impostazioni siti web, selezionare Adobe Flash Player e impostare tutti i siti eventualmente elencati a Chiedi; ripetere per il menu a discesa Quando visito altri siti web.

– Internet Explorer 11: Impostazioni (icona dell'ingranaggio in alto a destra) - Gestione componenti aggiuntivi - Mostra: tutti i componenti aggiuntivi - Shockwave - Disabilita.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (9)
Anche Android, almeno dal 4, non supporta più "ufficialmente" Flash...
Sono andato qua http://get.adobe.com/it/flashplayer/ e leggo "l proprio browser Google Chrome include già Adobe® Flash® Player incorporato. Google Chrome si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player." Quindi? Si aggiorna da solo? Quando? E come scopro quando è successo?
Paolo, il link giusto per avere youtube senza flash è questo: https://www.youtube.com/html5.
Il problema è in html5 non vedi i video che sono accompagnati dalla pubblicità, quindi il 90% di quelli con base musicale coperta da copyright, perché gli serve il programmino in flash per dirti che devi vedere almeno 4 secondi di spot e poi ridirezionarti al video successivamente.

Ps: impostare il flash per l'esecuzione a mano in du pall... preferisco no-script, che blocca selettivamente.
Mi domando quando finalmente il web sarà completamente libero da Flash. Spero presto.
su firefox si può impostare l'addons in fase alfa shumway che forza il browser ad eseguire il video in html5.
http://adf.ly/zFTBH
purtroppo sono pochi i video portali online che usano html5 per i video, fra questi youtube.
@TheQ: una volta usavo flash video replacer che faceva più o meno la stessa cosa, ma non funzionava con i video coperti da pubblicità e dava spesso problemi in quanto per funzionare doveva riuscire a catturare il link diretto del video.

Comunque visto che non mi sembra il caso di postare link nascosti dalla pubblicità nei siti di altri, il link diretto è questo: http://mozilla.github.io/shumway/
Grazie; ne vengo da "Anche se non vi importa [...]" del 8/7 ho infatti impostato Shockwave - Chiedi prima di attivare, lo avevo impostato come Always e visto il ritorno di fiamma di questi criminali inforNatici e' melgio stare in campana, dopotutto YouTube e' dotato di HTML5
Per Chrome, in alternativa alle impostazioni c'e' l'estensione FlashControl https://chrome.google.com/webstore/detail/flashcontrol/mfidmkgnfgnkihnjeklbekckimkipmoe
Attenzione che non tutti i contenuti multimediali utliizzano flash, molti si stanno spostando verso HTML5
io e' da un po' che sento dire che flash deve essere eliminato... sarebbe l'ora di mettere in pratica questo proposito...