Hlavní navigace

Ještě máte Flash v počítači? Nemáte trochu sebevražedné sklony?

 Autor: Adobe
Daniel Dočekal 20. 10. 2015

0day zranitelnost ve Flashi z minulého týdne je dost jasnou ukázkou toho, že jste Flash měli ze svého počítače odstranit už dávno.

Minulý týden se opět ukázalo, jak nebezpečný software se nachází v počítačích lidí, kteří vůbec netuší, že ho tam v zásadě mají. A už vůbec netuší, že by ho měli co nejrychleji odstranit. Řeč je o Flashi a o tom, že Adobe přiznalo bezpečnostní díru ve Flashi jen den po uvedení nové verze. Ale také o tom, že Flash je chronicky děravý software, který Adobe prostě nedokáže udržet bezpečný.

Firma Trend Micro minulý týden v souvislosti s novou chybou Flashe upozornila, že 0day zranitelnost, o které je řeč, už aktivně používali a používají hackeři. Podařilo se také zjistit, že byla využita v útoku proti jednomu z ministerstev v blíže neurčené zemi. Trend Micro také dost jasně řekli, že jakkoliv s Adobe pracují na nápravě, měla by firma Flash konečně ukončit.

Není to vůbec zbytečná poznámka nebo něco, co by nemělo opodstatnění. Flash se stal středem aktivit společnosti Hacking Team (viz Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks). Studie záplavy uniklých dokumentů i zdrojových kódů ukázala, že Hacking Team měli k dispozici řadu pomůcek využívajících právě Flash, včetně široce dostupné zranitelnosti.

Mozilla tehdy dokonce Flash kompletně deaktivovala, ale bohužel to udělala pouze na krátkou dobu a po „opravách“ od Adobe opět Flash ve Firefoxu povolila. Ale i bezpečnostní šéf Facebooku Alex Stamos tehdy žádal, aby Adobe určilo jasné datum, kdy Flash přestane existovat.

99 % počítačů na internetu

Adobe tvrdí, že Flash v sobě má 99 % počítačů na internetu (a to buďme rádi, že telefony a tablety ho už obsahovat nemohou, až na nějaké ty počáteční snahy o Flash na Androidu). Pokud bychom těmto číslům věřili (pocházejí z průzkumu v roce 2011 a od té doby Adobe nové údaje nezveřejnilo), znamenalo by to, že 99 % počítačů na internetu je napadnutelných.

Hacknutelných, ovládnutelných, zneužitelných. Jejich vlastníci buď vůbec nebudou tušit, k čemu jejich počítač ve skutečnosti slouží, nebo se jim jednoho dne může zobrazit vyděračská hláška nějakého toho ransomware a přijdou o všechno, co v počítači měli.

Doby, kdy nejzranitelnějším prvkem počítače byl prohlížeč, jsou dávno za námi. Dnes je to Flash (a v závěsu za ním ještě Java), kudy se útočník často dostane ke kýženému cíli. Více si o tom lze přečíst například v Operation Pawn Storm.

Co se stane, když odstraníte z počítače Flash

Zkuste si to, prostě odstraňte z počítače Flash (nestačí ho deaktivovat, je nutné ho opravdu odinstalovat), vrátit ho v nejhorším případě můžete vždy. Když už budete v odstraňování, zbavte se i Javy. Jedině tak zjistíte, zda nepoužíváte něco, kde Flash (či Javu) nutně potřebujete. Ale také tak můžete zjistit, kterému výrobci softwaru nebo poskytovateli služeb máte začít psát výzvy, aby změnil přístup a neohrožoval vaši bezpečnost.

Ano, s překvapením zjistíte, že existuje bankovní dům, který má bankovnictví napsané ve Flashi. Nepochopitelné a krajně nezodpovědné,  neuvěřitelný hazard s bezpečností klientů. 

Zjistíte, že na webu České televize stále používají flashový přehrávač, ačkoliv na tabletech se bez flashe obejdou. Stejná nezodpovědnost i přes to, že tady lze některé důvody použití Flashe chápat.

Zjistíte ale také třeba to, že pro Minecraft nepotřebujete Javu. Ale bohužel také to, že pokud potřebujete vyvíjet pro Android, tak celé IDE je na Javě postavené. Flash vám bude chybět také na pár webech fotografů, kteří stále nepochopili, že už není rok 2000. A nepustíte si některou ze stovek či tisíců flashových her pro děti. 

Flash už dnes pro reklamy nedává smysl

Jedno je ale dobré zopakovat. Dokud Flash či Javu opravdu neodstraníte, tak nezjistíte, zda to bez nich půjde. A zároveň, dokud je máte v počítači a přistupujete na internet, tak vás kdekoliv mohou napadnout útočníci. To kdekoliv je zde podstatné, protože útoky se dnes dějí běžně i na zcela důvěryhodných webech – útočný kód se tam dostává přes inzertní systémy či hacknuté weby.

YouTube? Vimeo a další weby s videem? Tam už se nemáte čeho obávat, už poměrně dlouho vyměnily flashové přehrávače za HTML 5.

EBF16

Jedním z argumentů pro používání Flashe je paradoxně stále internetová inzerce (blokování reklam vás mimochodem proti útokům přes Flash 100% neochrání), kde se Flash stal velmi rozšířeným nástrojem. Jenže, Chrome dnes flashové inzeráty nespouští, musíte si je aktivovat ručně. A nespustí ani další flashové věci natažené do neaktivního tabu či okna.

Řada inzertních sítí se Flashi už také brání a odmítá takovouto inzerci přijímat. Inzerentům a agenturám nakonec nezbude nic jiného, než přestat nesmyslné a zbytečně se hýbající inzeráty vytvářet nebo přejít na HTML 5.

Našli jste v článku chybu?
Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?