Flash è un letto caldo di vulnerabilità.
Chrome contiene una versione integrata di Flash, in esecuzione in modalità sandbox. Ovviamente, questo metodo è più sicuro rispetto all'utilizzo di Flash come plug-in in Firefox o IE.
Ma non è possibile trovare una vulnerabilità zero day in Flash e un modo per uscire dalla sandbox? Non disabilita del tutto il plug-in Flash l'opzione migliore?
Obviously, this method is safer.
Sicuramente. L'esecuzione di un programma all'interno della sandbox del browser è sempre più sicura perché il browser crea un ambiente contenuto per il programma di terze parti (Adobe Flash, nel tuo caso) -come scratch space - per impedire che il codice dannoso finale lasci il browser e si installi sul tuo disco rigido. Puoi pensare di eseguire un'applicazione di terze parti non attendibile all'interno della sandbox del browser, in una certa misura, come eseguire un programma all'interno di una macchina virtuale anziché eseguire nel sistema operativo della tua macchina host.
Un altro vantaggio dei programmi Adobe Flash sandboxing è quello :
However, Adobe recommends that non-developer Chrome users use Flash Player integrated with their browser. Using manually installed versions of Flash Player, by following the steps below, means that users no longer benefit from the automatic Flash Player updates that Chrome provides.
Significa che il modo consigliato di eseguire Adobe Flash consente agli utenti di beneficiare automaticamente degli aggiornamenti di sicurezza (poiché non tutti gli utenti sono inclini a farlo manualmente, esponendoli quindi alle minacce)
than running Flash as a plugin in either Firefox or IE
Recentemente, Mozilla ha aggiunto una funzionalità in Firefox che consente all'utente per sandbox qualsiasi programma (incluso Adobe Flash) che si desidera singolarmente - questo potrebbe essere un vantaggio per Firefox in quanto consente alle applet Java sandbox a differenza di Chrome -
Poiché non sto usando IE che hai menzionato, non sono sicuro che funzioni sandbox nei programmi Adobe Flash o non ancora. Ma penso di sì, quando sono arrivato a questo articolo ( Adobe imposta IE come prossimo obiettivo nel lavoro di sicurezza di Flash ) scritto tre anni fa.
But isn't it possible to find a zero day vulnerability in Flash and a way to break out of the sandbox as well?
Hai ragione. I meccanismi di sandboxing non sono così perfetti. Indipendentemente dal fatto che la sandbox sia correlata a Flash o ad altri programmi di terze parti, è normale che gli attaccanti interrompano i vincoli di sicurezza della sandbox.
Parlando di Flash e Chrome, solo il mese scorso c'è stato un vero esempio in cui la sandbox Flash in Chrome è stata sfuggita ( Hacking Team Flash 0-day: abbastanza potente da infettare l'attuale utente di Chrome ). Ma come ho detto, non solo le sandbox Flash possono essere sfuggite: posso menzionarle casualmente ( CVE-2015-0016 , in uscita dalla sandbox IE) e puoi trovarne così tanti a tuo piacimento per diversi browser.
Isn't disabling the Flash plugin altogether the best option?
Se stai parlando solo di plugin per Flash Player, allora hai ragione. Non è più raccomandato ( Chiamate di Facebook per la fine di Flash come Firefox lo blocca sui buchi di hacking ). HTML5 è invece la tecnologia consigliata ( Confronto di HTML5 e Flash )