Polowanie na dziurawego Flash Playera

Chyba żadna z wtyczek do przeglądarek stron WWW nie ma aż tak złej prasy jak Adobe Flash Player. To również pouczająca historia, jak niedaleko jest ze szczytu sławy do piekła nienawiści. Choć Flash Player jeszcze długo nie da nam o sobie zapomnieć, to wielu użytkowników najchętniej widziałoby go w muzeum osobliwości wraz z Silverlightem, a wiele firm forsuje i przekonuje do odzwyczajenia się od tej skompromitowanej na wszelakie sposoby technologii. Zapowiedzią zmian i znakiem czasów są też porady internetowe, które jeszcze niedawno opiewały jak skutecznie zainstalować ten dodatek, teraz – jak skutecznie go deaktywować i odinstalować.

O dziurach w odtwarzaczu animacji Flash było wiadomo od dawna. Również jego wydajność pozostawiała wiele do życzenia, szczególnie na systemach z kernelem linuksowym. Do tego stopnia, że samo Adobe poddało się i w wersji dla Linuksa oficjalny Flash Player zakończył karierę na wydaniu 11.2.xx (oczywiście otrzymuje on jednak poprawki bezpieczeństwa). Utarło się, że jeżeli ktoś już musi z Flash Playera korzystać, to tylko za sprawą tego zaszytego w przeglądarce Google Chrome (PPAPI Flash Player).

Jednak skalę zagrożeń tkwiących w zmurszałych strukturach Flash Playera ujawniło dopiero włamanie na serwery Hacking Team i wydobycie z nich niemal 400GB danych. Codziennie dokonywanych jest mnóstwo przeróżnych włamań, dlaczego ktoś miałby się przejmować danymi z serwerów Hacking Team? Otóż jest to firma tworząca oprogramowanie szpiegowskie na zlecenie służb specjalnych wielu państw (z usług korzystało też nasze rodzime Centralne Biuro Antykorupcyjne). W wyniku włamania światło dzienne ujrzały przeróżne exploity zero-day dla masowo użytkowanych wtyczek, przeglądarek, czytników PDF, itp. W tym również nieznane do tej pory sposoby na przejęcie kontroli nad komputerem ofiary za pomocą rzeczonej wtyczki Flash (CVE-2015-5119). Reakcja na owe sensacje (poza oburzeniem na sposoby pozyskiwania danych przez służby wywiadowcze) była szybka i Adobe wydało stosowne poprawki w wersji 18.0.0.203 (Windows, OS X i Linux z Google Chrome). Jednak dziury we Flashu są jak głowy Hydry – zetnij jedną, odrosną dwie następne (CVE-2015-5122 i CVE-2015-5123). Tę historię można ciągnąć w nieskończoność, gdyż w odpowiedzi na kolejne poprawki za jakiś czas zobaczymy kolejne wymyślne sposoby poniżania bezpieczeństwa przez wtyczkę Flash.

Co pozostało w obliczu takiej skali niedoskonałości? Użytkownicy Linuksa po latach zmagań z wydajnością Flash Playera, problemów z jego zainstalowaniem, usterkami i tak dalej, w końcu z mściwą satysfakcją mogą go po prostu usunąć z komputera. To również szansa dla HTML5 aby w pełni przejąć schedę po produkcie Adobe. Utyskiwania na sprawność działania np. wideo wyświetlanego za pomocą HTML5 odejdą wkrótce w niepamięć, gdy wszystko się upowszechni i większe siły wezmą się za jego udoskonalanie.

Jak pozbyć się Flash Playera? To proste, w ustawieniach Firefoksa deaktywujemy go na liście wtyczek (Ustawienia -> Dodatki -> Wtyczki). Jeżeli z jakichś względów jednak chcemy mieć możliwość jego aktywowania dla wybranych stron, wybieramy „Pytaj o aktywację”. Dla pełni szczęści możemy wyrzucić go całkiem z systemu, odinstalowując paczkę adobe-flashplugin (Ubuntu i pochodne), flashplugin-installer w Mincie lub flashplugin w Arch Linuksie/Manjaro. Jak żyć bez tej wtyczki? Większość stron albo zrezygnowało z tej technologii, albo zrezygnuje w najbliższym czasie. W przypadku najpopularniejszego Youtube wystarczy włączyć na tej stronie odtwarzanie wideo za pomocą HTML5.

Jednak są sytuacje, kiedy natrafimy na niereformowalne serwisy WWW, gdzie bez Flasha ani rusz. Wtedy najbezpieczniej i najlepiej jest skorzystać z Google Chrome i tamtejsze aktualnej wersji wtyczki, idącej ręka w rękę z wydaniami dla Windowsa (obecnie 18.0.0.xx).