Firefox su Ubuntu è meno sicuro (non confinano Flash)?

Solitamente gli exploit di Flash devono essere specificatamente mirati a un sistema operativo (Linux vs.s. vs.s. Windows qualunque). Un utente malintenzionato può scegliere di spingere tutti quanti in un solo exploit, il che probabilmente causerebbe il sospetto se il mio exploit si blocca durante lo sfruttamento o rende affidabile qualcosa che posso usare e riutilizzare. Questo significa la legge delle medie: " Quante persone usano Windows, e quanti usano Linux?" Dove potrebbe il mio exploit ottenere risultati migliori? "Se non mi rivolgo specificamente a te per se.

Flash di solito usato per consegnare un altro payload. Indipendentemente dal fatto che il carico utile sia specificamente indirizzato a Windows, è ciò che è rilevante. La maggior parte degli exploit basati su Flash da soli (non deliverable payload) devono ancora essere specificatamente mirati a te. Diamo un'occhiata a un advisory:

CVE-2014-8441

Adobe Flash Player before 13.0.0.252 and 14.x and 15.x before 15.0.0.223 on Windows and OS X and before 11.2.202.418 on Linux, Adobe AIR before 15.0.0.356, Adobe AIR SDK before 15.0.0.356, and Adobe AIR SDK & Compiler before 15.0.0.356 allow attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors, a different vulnerability than CVE-2014-0576, CVE-2014-0581, and CVE-2014-8440.

Se io come attaccante ho cercato di fare un exploit da inviare a te, ci sono molti modi per ottenerlo. Ma ecco gli ostacoli che vorrei affrontare cercando di sfruttarti.

• Passaggio 1) creare shellcode per fare il danno che devo fare
• Passaggio 2) offuscare questo codice shell in modo che non venga rilevato da AV

Prima ancora di farlo, ho una scelta completamente diversa ... Scegli il mio obiettivo da sfruttare: Mi concentrerò su Linux, o Windows?!? Poiché ciascuno è un sistema operativo diverso, i miei carichi utili saranno diversi.

IOW stai confondendo il modo in cui gli aggressori usano Flash per sfruttare un sistema operativo. Flash di solito non è altro che un veicolo per fornire qualcosa di più dannoso.

ANALOGIA

Immagina se puoi un paese chiamato Chickenphobia in cui tutti sono allergici ai polli. Se qualcuno entra in contatto con un pollo, si ammalerà. Ora immagina un autobus, un aereo, una barca o un camion che trasporta polli (con l'intenzione di far ammalare le persone in Chickenphobia) nella città sbagliata. I veicoli (autobus, camion, barca, treno, pianura) sono Flash. Non è altro che un meccanismo di consegna.

- FINE DELL'ANALOGIA

Ubuntu Linux makes it easy to install Flash as soon as you encounter it.

Le cose sono cambiate da allora. Al giorno d'oggi, anche quando è installato, Flash è disabilitato per impostazione predefinita. Se stai parlando solo di plugin e sicurezza di Flash Player, allora devi sapere che non è più raccomandato ( Facebook chiama per la fine di Flash mentre Firefox la blocca sui buchi di hacking ). HTML5 è invece la tecnologia consigliata ( Confronto di HTML5 e Flash )

Sì. Flash non è definito su Ubuntu (per impostazione predefinita).

link

Anche Flash NPAPI su Linux è una versione di manutenzione. È difficile stabilire se sta recuperando i backport per ogni nuova funzione di sicurezza.

link