इन सभी एडोब फ्लैश 0-डे सिक्योरिटी होल्स से खुद को कैसे सुरक्षित रखें
एडोब फ्लैश पर अभी तक फिर से हमला हो रहा है, एक और "0-दिन" के साथ - एक नया सुरक्षा छेद का उपयोग किया जा रहा है इससे पहले कि एक पैच भी उपलब्ध हो। भविष्य की समस्याओं से खुद को बचाने का तरीका यहां बताया गया है.
दुर्भावनापूर्ण वेबसाइट - या किसी तृतीय-पक्ष विज्ञापन नेटवर्क के दुर्भावनापूर्ण विज्ञापन वाली वेबसाइट - आपके कंप्यूटर से छेड़छाड़ करने के लिए इनमें से किसी एक कीड़े का दुरुपयोग कर सकती है.
क्लिक-टू-प्ले सक्षम करें (या फ़्लैश पूरी तरह से अनइंस्टॉल करें)
आप इन समस्याओं से बचने के लिए सैद्धांतिक रूप से फ्लैश की स्थापना रद्द कर सकते हैं। आधुनिक वेब ब्राउज़र में आधुनिक एचटीएमएल 5 वीडियो के लिए पूरी तरह से यूट्यूब डंपिंग फ्लैश के साथ, इसकी आवश्यकता कम और कम है। सबसे खराब स्थिति में जब आप किसी ऐसे वीडियो साइट पर ठोकर खाते हैं जिसके लिए फ्लैश की आवश्यकता होती है, तो आप हमेशा अपने स्मार्टफोन या टैबलेट को खींच सकते हैं और मोबाइल साइट का उपयोग कर सकते हैं - वे बिना फ्लैश के बने होते हैं।.
लेकिन कभी-कभी आपको फ्लैश की आवश्यकता होती है, और हम अनुशंसा नहीं कर सकते कि ज्यादातर लोग इसे पूरी तरह से अनइंस्टॉल कर दें। यदि आप चाहते हैं कि फ़्लैश स्थापित हो - और आप शायद करें, तो दुख की बात है - क्लिक-टू-प्ले को सक्षम करना आपके लिए सबसे अच्छा विकल्प है। यह वेबसाइटों को उनकी इच्छित सभी फ़्लैश सामग्री को लोड करने से रोकता है। जब आप किसी साइट पर जाते हैं, तो आप किसी विशिष्ट फ़्लैश तत्व को लोड करने के लिए प्लेसहोल्डर आइकन पर क्लिक कर सकते हैं - जैसे कि वीडियो। फ्लैश स्वचालित रूप से नहीं चलेगा, आपको "ड्राइव-बाय" हमलों से बचाता है जहां आप बस एक वेबसाइट पर जाकर संक्रमित हो जाते हैं.
लेकिन किसी भी वेबसाइट पर श्वेत सूची न करें!
आपको क्लिक-टू-प्ले श्वेतसूची का उपयोग नहीं करना चाहिए, जो आपको कुछ विश्वसनीय साइटों पर स्वचालित रूप से फ़्लैश सामग्री लोड करने की अनुमति देता है। यहाँ पर क्यों:
हालिया हमले की खोज एक लोकप्रिय वीडियो साइट Dailymotion के विज्ञापनों में की गई थी। इस तरह की साइट के लोग श्वेतसूची में होते हैं, इसलिए उन्हें हर बार एक अतिरिक्त क्लिक की आवश्यकता नहीं होगी, जो वे एक Dailymotion वीडियो देखना चाहते थे। लेकिन साइट को श्वेतसूची में रखने से सभी फ़्लैश सामग्री लोड हो सकती है, जिनमें संभावित रूप से दुर्भावनापूर्ण विज्ञापन भी शामिल हैं। क्लिक-टू-प्ले का उपयोग करना और केवल मुख्य वीडियो प्लेयर को लोड करने के लिए क्लिक करना इस हमले को रोकना होगा - क्लिक-टू-प्ले आपको केवल पृष्ठ पर विशिष्ट फ़्लैश तत्वों को लोड करने की अनुमति देता है, जिससे आपकी भेद्यता कम होती है.
क्लिक-टू-प्ले एक रामबाण नहीं है, क्योंकि कुछ विज्ञापन वीडियो खिलाड़ियों के अंदर दिए जाते हैं। हां, किसी दिन शून्य-शून्य भेद्यता का उपयोग करके आपको संभावित रूप से वहां से शोषण किया जा सकता है। लेकिन यह हर जोखिम से बचने के बारे में नहीं है - यह जोखिम को यथासंभव कम करने के बारे में है.
फ्लैश सैंडबॉक्स के लिए क्रोम, क्रोमियम या ओपेरा का उपयोग करें
सुरक्षा के लिए फ्लैश की तरह ब्राउज़र प्लग-इन को कभी भी "सैंडबॉक्स" नहीं किया गया था, जिसमें उन्हें कम-अनुमति वाले वातावरण में चलाना शामिल है ताकि उन हमलों पर दरार हो जाए जो आपके पूरे कंप्यूटर तक पहुंच नहीं पाएंगे.
Google ने इस समस्या को "PPAPI" (या "काली मिर्च एपीआई") प्लग-इन सिस्टम के साथ Google क्रोम में उपयोग किया है और क्रोम के लिए ओपन-सोर्स क्रोमियम ब्राउज़ का निर्माण किया है। PPAPI अतिरिक्त सैंडबॉक्सिंग प्रदान करता है, जो आपको कमजोरियों से बचाने में मदद कर सकता है। लेकिन असली समाधान प्लग-इन की जगह पूरी तरह से है.
एडोब नोट्स से हाल ही में सुरक्षा बुलेटिन: "हम रिपोर्टों के बारे में जानते हैं कि विंडोज 8.1 और उससे नीचे के इंटरनेट एक्सप्लोरर और फ़ायरफ़ॉक्स चलाने वाले सिस्टम के खिलाफ ड्राइव-बाय-डाउनलोड हमलों के माध्यम से जंगली में इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है।" , जो हो सकता है क्योंकि PPAPI सिस्टम अतिरिक्त सुरक्षा प्रदान करता है। Chrome उपयोगकर्ताओं के पास सुरक्षा की झूठी भावना नहीं होनी चाहिए, क्योंकि इससे हर समस्या से बचाव नहीं हुआ है - लेकिन फ़्लैश का उपयोग करने के लिए Chrome संभवतः सबसे सुरक्षित ब्राउज़र है.
क्रोम में एक फ्लैश प्लग-इन शामिल है, लेकिन आप एडोब की वेबसाइट से क्रोमियम या ओपेरा के लिए पीपीएपीआई प्लग-इन भी डाउनलोड कर सकते हैं। क्रोमियम क्रोम और ओपेरा दोनों के लिए आधार बनाता है, इसलिए तीन ब्राउज़रों को फ्लैश के लिए समान सुरक्षा सुविधाएँ प्रदान करनी चाहिए.
स्वचालित रूप से फ्लैश अपडेट रखें
अपने फ़्लैश प्लग-इन को अपडेट रखना सुनिश्चित करें। यह आपको 0-दिनों से सुरक्षा नहीं देगा - जिसके पास परिभाषा द्वारा जारी पैच नहीं है - लेकिन यह आपके कंप्यूटर पर फ़्लैश प्लग-इन हासिल करने का एक महत्वपूर्ण हिस्सा है। जब उन सुरक्षा छेदों को पैच किया जाता है, तो आपको अपडेट मिलेगा.
इसे करने बहुत सारे तरीके हैं। यदि आप Google Chrome का उपयोग करते हैं, तो Google में Chrome के साथ सैंडबॉक्स (PPAPI) फ्लैश प्लग-इन शामिल है। यह Chrome वेब ब्राउज़र के साथ स्वचालित रूप से अपडेट हो जाएगा ताकि आपको इसके बारे में सोचना भी न पड़े.
यदि आप विंडोज 8 या विंडोज 8.1 पर इंटरनेट एक्सप्लोरर का उपयोग करते हैं, तो माइक्रोसॉफ्ट में IE के साथ फ्लैश प्लग-इन का एक संस्करण भी शामिल है। आप अपने अन्य सुरक्षा अद्यतन के साथ Windows अद्यतन से IE के लिए फ्लैश के लिए अपडेट प्राप्त करेंगे.
यदि आप विंडोज के किसी भी संस्करण पर एक अलग ब्राउज़र - फ़ायरफ़ॉक्स, ओपेरा या क्रोमियम का उपयोग करते हैं; या यहां तक कि विंडोज 7 या उससे पहले के इंटरनेट एक्सप्लोरर - आपको फ्लैश के अंतर्निहित अपडेटर का उपयोग करना होगा। फ़्लैश अनुशंसा करता है कि आप इसे स्थापित करते समय स्वचालित अपडेट सक्षम करें, लेकिन आपको यह सुनिश्चित करने के लिए जांच करनी चाहिए कि स्वचालित अपडेट वास्तव में आपके कंप्यूटर पर सक्षम हैं या नहीं.
विंडोज पर, आपको कंट्रोल पैनल में फ्लैश प्लेयर के तहत यह विकल्प मिलेगा। नियंत्रण कक्ष खोलें और शॉर्टकट खोजने के लिए "फ्लैश" खोजें, या सिस्टम और सुरक्षा श्रेणी पर क्लिक करें और नीचे की ओर स्क्रॉल करें। "फ़्लैश प्लेयर" आइकन पर क्लिक करें, उन्नत टैब पर क्लिक करें, और सुनिश्चित करें कि स्वचालित अपडेट सक्षम हैं.
फ्लैश के लिए एक अलग ब्राउज़र या ब्राउज़र प्रोफ़ाइल का उपयोग करें
फ्लैश को पूरी तरह से अनइंस्टॉल करने या केवल क्लिक-टू-प्ले पर निर्भर होने के बजाय, आप एक अलग ब्राउज़र प्रोफ़ाइल का उपयोग कर सकते हैं जिसमें फ्लैश सक्षम है और इसे केवल तभी खोलें जब आपको फ्लैश की आवश्यकता हो.
उदाहरण के लिए, यदि आप ज्यादातर समय फ़ायरफ़ॉक्स का उपयोग करते हैं, तो आप फ़्लैश की स्थापना रद्द कर सकते हैं और Google Chrome इंस्टॉल कर सकते हैं। जब आपको फ़्लैश सामग्री का उपयोग करने की आवश्यकता हो तो Google Chrome लॉन्च करें (जो बिल्ट-इन फ़्लैश प्लेयर के साथ आता है)। या, आप स्वयं ब्राउज़र में एक अलग "प्रोफ़ाइल" (क्रोम में उपयोगकर्ता खाता) बना सकते हैं और फ्लैश को केवल अपने मुख्य प्रोफ़ाइल में अक्षम कर सकते हैं, जिससे फ्लैश को माध्यमिक प्रोफ़ाइल में सक्षम किया जा सकता है। यह फ़्लैश को आपके मुख्य ब्राउज़र से दूर एक अलग क्षेत्र में अलग कर देगा.
ब्राउज़र प्लग-इन खतरनाक हैं - वास्तव में, प्लग-इन और अंतर्निहित प्लग-इन आर्किटेक्चर ही सुरक्षा को ध्यान में रखकर नहीं बनाया गया था। जावा बंच का सबसे खराब है, लेकिन यहां तक कि फ्लैश में समस्याओं का कभी न खत्म होने वाली धारा है। अच्छी खबर यह है कि आपको केवल प्लग-इन की आवश्यकता है फ्लैश, और प्रत्येक गुजरते दिन के साथ वेब इस पर कम निर्भर करता है.