Ostrzeżenie „Shockwave Flash jest wrażliwy”

22

Dobry wieczór!

Dzisiaj bez problemu wyłączyłem komputer i wyszedłem. Kiedy wróciłem i spróbowałem surfować po sieci, zobaczyłem, że mój firefox zaczął mi dawać ten problem:

„Shockwave Flash jest podatny na ataki”

Przeprowadziłem badania na ten temat, odinstalowałem i ponownie zainstalowałem wtyczkę Adobe Flash Player, ale to nie działało. Również mój Flash Player jest aktualny. (Wersja: 11.02.202.481). Nawiasem mówiąc, używam Lubuntu.

Dziękuję za Twoje wsparcie!

Mabox
źródło
3
Więc jakie jest twoje pytanie? Widzę tylko kilka deklaratywnych stwierdzeń. Witryny stosu wymiany służą do odpowiedzi na konkretne pytania, na które można odpowiedzieć - nie widzę żadnego pytania w tym pytaniu. Zachęcam do edycji, aby wyjaśnić, o co pytasz (i jakie badania przeprowadziłeś). Nie każ nam zgadywać ani zakładać, jakie masz pytanie.
DW

Odpowiedzi:

21

Mozilla, która rozwija Firefoksa, narzuciła blok, ponieważ ostatnio odkryte błędy we Flashu były aktywnie wykorzystywane przez cyber-złodziei.

Błędy zostały wyszczególnione w skrytce dokumentów skradzionych firmie ochroniarskiej Hacking Team, która została uderzona przez napastników w zeszłym tygodniu.

Adobe powiedział, że „poważnie” potraktował zabezpieczenia Flasha i planuje poprawki błędów.

Źródło

Nie ma teraz sposobu, aby zawsze był aktywny bez monitów, ale możesz zezwolić Flashowi na poszczególne treści, naciskając Activate Adobe Flash:

wprowadź opis zdjęcia tutaj

Możesz też włączyć tę funkcję dla witryny, a nawet pamiętać, że chcesz ją aktywować dla tej witryny:

wprowadź opis zdjęcia tutaj


źródło
1
Wiem, że Firefox wyłącza tę wtyczkę, ponieważ jest stara, a ich kod chce zobaczyć nowszą wersję - na odwrót jest to wtyczka otoki, która wykorzystuje wtyczkę Chrome Pepper Flash zamiast starej wtyczki Linux dla Flasha.
Thomas Ward
1
Twoja uwaga na temat wyłączania Flasha przez Firefox z powodu ostatnich wulgaryzmów nie jest jednak jedynym powodem i dotyczyła strony Linuksa, ponieważ zakończyły one nowsze wersje, ponieważ Wersja Num <SomeVal. To prawda, że ​​ostatnie główne luki w zabezpieczeniach przekazały to WSZYSTKIM aktualnym wersjom Firefoksa i takie, jednak ten problem z brakiem włączania Flasha istniał już od czasu wydania najnowszych wersji. Rozwiązaniem jest jego aktualizacja (czego nie możemy zrobić, ponieważ nie ma żadnych nowych wtyczek, ponieważ Adobe ściągnął wsparcie), lub użyj Chrome (i albo sam Chrome, albo opakowanie firefox, które używa Pepper Flash)
Thomas Ward
2
Straszny UX. Nie obchodzi mnie to, że Flash wyłącza się na losowych stronach, mam tylko Flasha na Youtube, ale fakt, że zachęca mnie do ponownego włączenia go za pomocą ikony małego tyłka na pasku adresu, jest okropny i jest to najnowszy przykład oprogramowania próbującego być zbyt sprytnym. Może mieć wyskakujące okienko, na przykład co drugi monit w Firefoksie?
Thomas
4
Flash 11 dla systemu Linux wciąż otrzymuje aktualizacje zabezpieczeń, ale problem polega na tym, że Adobe ogólnie ma straszne osiągnięcia w zakresie tworzenia wspomnianych aktualizacji.
Michael Hampton
2
@Thomas Niebezpiecznie przedostaje się również na terytorium „oprogramowania próbującego przeforsować program swoich twórców” IMO (niezależnie od tego, czy ten program pomaga użytkownikom, czy nie)
user253751
19

Akceptowanym sposobem uzyskania Flasha w Ubuntu i Linuksie oraz najnowszej wersji jest Google Chrome, ponieważ jest to jedyna przeglądarka dostarczająca wersję Flash.

Adobe przestało obsługiwać Flasha dla Linuksa (nawet w Firefoksie) w stosunku do wersji 11. Nie produkują już żadnych „nowych” wydań Flasha dla Linuksa i sposobu, w jaki Firefox obsługuje wtyczki. Ze względu na naprawdę stary numer wersji (18 to najnowsza wersja Flash, a 11 to ostatnia obsługiwana wersja wtyczki Firefox dostępna dla Linuksa) oraz inne obawy dotyczące bezpieczeństwa, Firefox automatycznie wyłącza te „stare” wersje. Dotyczy to wszystkich systemów operacyjnych, nie tylko Ubuntu i * nix. (Chociaż @ParanoidPanda ma rację, teraz wymuszają to w kilku dodatkowych wersjach na wszystkich platformach, nie jest to główny powód tego ostrzeżenia w Ubuntu / Firefox).


Jednak pomimo tego, że Adobe wyciągnęło natywną obsługę formatów API wtyczek Firefox dla Linuksa, Adobe i Google mają umowę. Ta umowa umożliwia Google dostarczanie zaktualizowanej wersji Flash, która korzysta z platformy Pepper API, i jest zawarta w Google.

Istnieją programy otoki, które można zainstalować w Firefox, które wykorzystują Flash Pepper w Chrome, pod warunkiem, że zainstalujesz Chrome. Jednak większość użytkowników po prostu przełącza się na Chrome.

Sugeruję zainstalowanie Chrome i używanie go do przeglądania i korzystania ze stron Flash (pod warunkiem, że będziesz go aktualizować).


Pamiętaj jednak, że nie ma sposobu na ominięcie tej zmiany w polityce Firefoksa. W bazie wiedzy Zespołu ds. Bezpieczeństwa znajduje się strona, która nieco bardziej szczegółowo omawia ten problem, a przynajmniej zapewnia harmonogram wszystkich zdarzeń z tym związanych.

Thomas Ward
źródło
1
Pytanie: Czy Chrom obsługuje Flash Pepper? W każdym razie prawdopodobnie lepiej unikać używania Flasha na stronach internetowych; witryna, która nadal korzysta z Flasha, prawdopodobnie nie jest aktualna pod względem bezpieczeństwa.
Paddy Landau
1
@PaddyLandau Wierzę, że jest gdzieś przewodnik, aby Pepper Flash działał w Chromium, a nawet pakiet, aby to zrobić, jednak nie cytuj mnie, ponieważ nie używam Chromium, więc nie mogę tego poświadczyć.
Thomas Ward
1
Mogę potwierdzić, że Chromium obsługuje Pepper Flash. Moja obecna instalacja: Chromium 43.0.2357.130 (Ubuntu 15.04) OS Linux Flash plugin 11.2.999.999 /usr/lib/adobe-flashplugin/libpepflashplayer.so
user173876
1
@ThomasW. Pakiet instalujący Pepper Flash dla Chromium nazywa się pepperflashplugin-nonfree, a wtyczka NPAPI nadal otrzymuje aktualizacje bezpieczeństwa, jak wspomniano w twoim ostatnim linku do Wiki.
LiveWireBT
1

Próbując odpowiedzieć na oczywiste pytanie:

Co robić?

  • Upewnij się, że komputer jest podłączony do Internetu i zaktualizuj instalację za pomocą:
    • update-managerz deski rozdzielczej
    • albo sudo apt-get update i sudo apt-get dist-upgrade od terminala (Sprawdź, czy pierwsze polecenie zwraca błędy, powód, dla którego nie polecam łączenia zarówno z &&tutaj)
    • lub jakikolwiek inny menedżer pakietów lub interfejs użytkownika do tego, którego używa Twoja dystrybucja / smak.
  • Sprawdź, czy numer wersji Flash na odpowiedniej stronie wtyczki w ustawieniach przeglądarki dokładnie odpowiada numerowi wersji opublikowanej na stronie Adobes dla Flasha .
    • Jeśli nie próbuje sudo apt-get install --reinstall flashplugin-installerwtyczki NPAPI (Firefox i inne) lub zastąp ją, pepperflashplugin-nonfreejeśli używasz Chromium.
  • Jeśli Twoja przeglądarka nadal zgłasza, że ​​ta wtyczka jest podatna na atak i nie jest dostępna żadna nowsza wersja, wybierz:
    • Używaj alternatyw, takich jak HTML5, gdy tylko są one dostępne.
    • Wybierz inną przeglądarkę. (Chrome zyskał już wątpliwą reputację współczesnego odpowiednika Flash Playera).
    • Poczekaj na zaktualizowaną wersję wtyczki do przeglądarki. Może to trwać od dni do miesięcy lub lat.
    • Wybierz, że nie warto ryzykować uruchamiania Flasha.
      • Przekaż użyteczne (!) Informacje zwrotne każdemu, kto jest odpowiedzialny za to, że te treści są dystrybuowane tylko za pośrednictwem Flash.
      • Jeśli jest to tylko wideo lub audio i przy braku implementacji HTML5, spróbuj pobrać strumień wideo / audio lub plik przy użyciu popularnych narzędzi do tego zadania lub ręcznie przekopać się przez źródło strony. (W niektórych przypadkach może to być uznane za przestępstwo).
    • Mimo to uruchom Flash. (Sprawdź opcje w przeglądarce).
      • Pro: Luka istniała wcześniej i nic się nie stało [tobie].
      • Przeciw: Poważna luka jest obecnie znana wszystkim twórcom oprogramowania ransomware za darmo. Ransomware to szybki i „poważny” biznes.
LiveWireBT
źródło