Um site malicioso - ou um site com um anúncio malicioso de uma rede de publicidade de terceiros - pode abusar de um desses bugs para comprometer seu computador.
Ativar Reprodução por Clique (ou Desinstalar Flash Inteiramente)
Você poderia, teoricamente, desinstalar o Flash para evitar esses problemas. É necessário cada vez menos, com até o YouTube jogando o Flash completamente para vídeos HTML5 modernos em navegadores modernos. Na pior das hipóteses, quando você se depara com algum tipo de site de vídeo que requer o Flash, você pode sempre retirar seu smartphone ou tablet e usar o site para dispositivos móveis - esses são criados sem o Flash.
Mas às vezes você precisa do Flash e não podemos recomendar que a maioria das pessoas o desinstale completamente. Se você quer que o Flash esteja instalado - e você provavelmente o faz, infelizmente - habilitar o click-to-play é a melhor opção disponível para você. Isso impede que os sites carreguem todo o conteúdo em Flash desejado. Quando você visita um site, basta clicar no ícone de espaço reservado para carregar um elemento Flash específico, como o vídeo. O Flash não será executado automaticamente, protegendo você contra ataques "drive-by", nos quais você é infectado simplesmente por visitar um website.
Mas não coloque na lista de páginas qualquer site!
Você não deve usar a lista de permissões "clique para jogar", que permite carregar automaticamente conteúdo em Flash em determinados sites confiáveis. Aqui está o porquê:
O recente ataque foi descoberto em anúncios no Dailymotion, um site de vídeos populares. Esse é o tipo de site que as pessoas colocariam na lista de permissões para que não precisassem de um clique adicional toda vez que quisessem assistir a um vídeo do Dailymotion. No entanto, a inclusão do site na lista de permissões permitiria o carregamento de todo o conteúdo em Flash, incluindo os anúncios potencialmente mal-intencionados. Usar o clique para reproduzir e apenas clicar no player de vídeo principal para carregá-lo impediria esse ataque. O clique para reproduzir permite que você carregue apenas elementos específicos do Flash em uma página, reduzindo sua vulnerabilidade.
O clique para reproduzir não é uma panacéia, pois alguns anúncios são exibidos em players de vídeo. Sim, você poderia ser explorado a partir daí usando algum tipo de vulnerabilidade de dia zero. Mas não se trata de evitar todos os riscos - é minimizar o risco o máximo possível.
Use o Chrome, o Chromium ou o Opera para a sandbox do Flash
Os plug-ins do navegador, como o Flash, nunca foram feitos para serem "sandboxizados" para segurança, o que envolve a execução deles em um ambiente de baixa permissão para que os ataques que quebram o Flash não tenham acesso a todo o seu computador.
O Google alivia um pouco esse problema com o sistema de plug-in "PPAPI" (ou "Pepper API") usado no Google Chrome e a navegação em código aberto do Chromium que forma a base do Chrome. O PPAPI fornece um sandbox adicional, que pode ajudar a proteger você contra vulnerabilidades. Mas a solução real é substituir totalmente os plug-ins.
O recente boletim de segurança da Adobe aponta: “Estamos cientes de relatos de que essa vulnerabilidade está sendo ativamente explorada em meio a ataques de download por unidade contra sistemas que executam o Internet Explorer e o Firefox no Windows 8.1 e inferior.” O Chrome não é mencionado, o que poderia ser porque o sistema PPAPI fornece segurança adicional. Os usuários do Chrome não devem ter uma falsa sensação de segurança, pois isso não protege contra todos os problemas, mas o Chrome é provavelmente o navegador mais seguro para usar o Flash.
O Chrome inclui um plug-in Flash, mas você também pode fazer o download do plug-in PPAPI para o Chromium ou Opera no site da Adobe. O Chromium é a base do Chrome e do Opera, por isso os três navegadores devem oferecer os mesmos recursos de segurança para o Flash.
Mantenha o Flash atualizado automaticamente
Certifique-se de manter seu plug-in do Flash atualizado. Isso não protege você dos 0 dias - que não têm um patch lançado, por definição -, mas é uma parte essencial da segurança do plug-in do Flash no seu computador. Quando essas falhas de segurança forem corrigidas, você receberá a atualização.
Existem várias maneiras de fazer isso. Se você usa o Google Chrome, o Google inclui o plug-in Flash em sandbox (PPAPI) com o Chrome. ele será atualizado automaticamente com o navegador da Web Chrome, para que você não tenha que pensar nisso.
No Windows, você encontrará essa opção no Flash Player no Painel de controle. Abra o Painel de Controle e procure por “Flash” para encontrar o atalho, ou clique na categoria Sistema e Segurança e role até a parte inferior. Clique no ícone "Flash Player", clique na guia Avançado e verifique se as atualizações automáticas estão ativadas.
Use um navegador diferente ou um perfil de navegador para Flash
Em vez de desinstalar totalmente o Flash ou depender apenas do clique para reproduzir, você pode usar um perfil de navegador separado que tenha o Flash ativado e abri-lo somente quando precisar do Flash.
Por exemplo, se você usa o Firefox na maior parte do tempo, pode desinstalar o próprio Flash e instalar o Google Chrome. Inicie o Google Chrome (que vem com um Flash player incorporado) quando precisar usar o conteúdo em Flash. Ou você pode criar um "perfil" separado (conta de usuário no Google Chrome) no próprio navegador e desativar o Flash apenas no perfil principal, deixando o Flash ativado no perfil secundário. Isso isolaria o Flash em uma área separada do seu navegador principal.
Os plug-ins do navegador são perigosos - na verdade, os plug-ins e a própria arquitetura de plug-in subjacente não foram projetados com a segurança em mente. Java é o pior do grupo, mas até o Flash tem um fluxo interminável de problemas. A boa notícia é que o único plug-in que você provavelmente precisará é o Flash, e a web depende dele a cada dia que passa.
