Flash es una cama caliente de vulnerabilidades.
Chrome contiene una versión incorporada de Flash, que se ejecuta en modo de espacio aislado. Obviamente, este método es más seguro que ejecutar Flash como un complemento en Firefox o IE.
¿Pero no es posible encontrar una vulnerabilidad de día cero en Flash y también una forma de salir de la caja de arena? ¿No es la mejor opción deshabilitar el complemento de Flash?
Obviamente, este método es más seguro.
Seguramente. Ejecutar un programa dentro de la zona de pruebas del navegador siempre es más seguro porque el navegador crea un entorno contenido para el programa de terceros (Adobe Flash, en su caso), como scratch space : para evitar que el código malicioso final salga del navegador y se instale en su disco duro. Puede pensar que, en cierta medida, ejecutar una aplicación de terceros que no es de confianza dentro del recinto de seguridad del navegador ejecuta un programa dentro de una máquina virtual en lugar de ejecutarse en el sistema operativo de su máquina host.
Una otra ventaja de Chrome sandboxing en los programas de Adobe Flash es que :
Sin embargo, Adobe recomienda que los usuarios de Chrome que no sean desarrolladores utilicen Flash Reproductor integrado con su navegador . Utilizando manualmente instalado versiones de Flash Player, siguiendo los pasos a continuación, significa que los usuarios ya no se benefician de las actualizaciones automáticas de Flash Player que Chrome proporciona.
Significa que la forma recomendada de ejecutar Adobe Flash hace que el usuario se beneficie automáticamente de las actualizaciones de seguridad (ya que no todos los usuarios son propensos a hacerlo manualmente y, por lo tanto, los expone a amenazas)
que ejecutar Flash como un complemento en Firefox o IE
Recientemente, Mozilla agregó una función en Firefox que permite al usuario a sandbox cualquier programa (incluido Adobe Flash) que desee individualmente, esto puede ser una ventaja para Firefox, ya que permite a los applets de Java sandbox a diferencia de Chrome-
Como no estoy usando el IE que mencionaste, no estoy seguro de si se trata o no de los programas Adobe Flash. Pero creo que sí, ya que llegué a este artículo ( Adobe establece IE como el próximo objetivo en el trabajo de seguridad de Flash ) escrito hace tres años.
Pero, ¿no es posible encontrar una vulnerabilidad de día cero en Flash y una ¿Una forma de salir de la caja de arena también?
Tienes razón. Los mecanismos de la caja de arena no son tan perfectos. Ya sea que la zona de pruebas esté relacionada con Flash o cualquier otro programa de terceros, es común que los atacantes rompan las restricciones de seguridad de la zona de pruebas.
Hablando de Flash y Chrome, el mes pasado hubo un ejemplo del mundo real en el que se escapó el entorno de seguridad de Flash en Chrome ( Hacking Team Flash 0-day: lo suficientemente potente como para infectar al usuario real de Chrome ). Pero como dije, no solo se pueden escapar los entornos limitados de Flash: puedo mencionarte al azar ( CVE-2015-0016 , escapando de la zona de pruebas de IE) y puede encontrar tantos a su disposición para diferentes navegadores.
¿No es la mejor opción desactivar el complemento de Flash?
Si solo estás hablando del plugin de Flash Player, tienes razón. Ya no se recomienda ( llamadas de Facebook para el final de Flash como Firefox lo bloquea en los agujeros de piratería ). En su lugar, HTML5 es la tecnología recomendada ( Comparación de HTML5 y Flash )