- infoCOM.UZ - http://infocom.uz -

Не забудьте выключить Flash

Почему безопасники давно не любят Flash

По сути, контент в формате Flash представляет собой небольшие программы, которые скачиваются на компьютеры пользователей и исполняются при помощи Flash Player. Поэтому Flash Player, присутствовавший практически на каждом устройстве с выходом в Интернет, попал под пристальное внимание злоумышленников: ведь возможность исполнения кода на компьютере жертвы — это их заветная мечта.

В результате уязвимости разного уровня опасности находились в Flash Player с завидной регулярностью. Они позволяли задействовать скрипты с посторонних сайтов, перехватывать содержимое буфера обмена, выполнять произвольный код и многое другое. Всего за время существования Flash Player в нем было найдено более тысячи уязвимостей [1].

Еще одна опасность исходила напрямую из популярности технологии Flash. Любой сайт мог внезапно заявить, что используемый пользователем Flash Player устарел и его надо незамедлительно обновить. Поэтому многие пользователи привыкли к подобным призывам и не задумываясь кликали на кнопку «Скачать», нередко вместо обновленной версии Flash Player получая пачку вредоносных программ. Причем даже несмотря на то, что в последние годы Flash использовался все реже, некоторые злоумышленники продолжали эксплуатировать этот трюк — вот пример [2], которому немногим больше года.

В результате многие безопасники уже более 10 лет назад начали рекомендовать прекратить использование этой технологии, а пользователи и администраторы корпоративных сетей отключали Flash в настройках браузера.

Что меняется в 2021 году?

До декабря прошлого года компания Adobe продолжала следить за безопасностью Flash Player и старательно закрывала обнаруживаемые уязвимости. Теперь этого не будет происходить. Все новые уязвимости, найденные после 31 декабря 2020 года, навсегда останутся незакрытыми.

Более того, современные браузеры будут автоматически блокировать Flash-контент, отображая на его месте заглушку с сообщением о блокировке. А особенно настойчивых или любознательных пользователей браузеры будут отправлять за объяснениями либо на собственные страницы [3], либо в соответствующий раздел сайта Adobe [4].

Что делать владельцам сайтов?

Если вы все еще сознательно используете Flash-контент, то у меня для вас плохие новости: с высокой долей вероятности его никто не увидит. Поэтому имеет смысл перейти на что-то более современное и, возможно, перевести на новую технологию актуальные проекты. К счастью, людей и компаний, которые до сих остаются верны Flash, крайне немного.

Если вы не используете контент, написанный на Flash, то все равно лучше внимательно изучить свои веб-сайты — не осталось ли где-нибудь какого-нибудь интерактивного элемента, все еще работающего на этой технологии? Например, видео, встроенного со стороннего сайта? От таких вещей лучше избавиться. Ведь часто бывает, что компании поддерживают старые страницы и проекты просто для того, чтобы не показывать случайным пользователям сообщение об ошибке.

В принципе, если отвлечься от того факта, что контент никто не увидит, то беда невелика. Однако потенциально могут найтись пользователи, которые ради того, чтобы посмотреть на ваш сайт, начнут устанавливать устаревшие версии браузеров с устаревшими Flash-плеерами и тем самым подвергнут себя опасности.

Что делать пользователям?

Удалить плагин Flash из браузера, если вы еще этого не сделали, и забыть навсегда о данной технологии. Если вы зашли на сайт, а там Flash-контент, не отображаемый вашим браузером, то с высокой долей вероятности вам туда не надо: либо авторы сайта давно забросили этот проект, либо они небрежны, либо намеренно провоцируют пользователей на опасные действия. В любом случае, лучше не рисковать.

Источник [5]