Het uitroeien van Flash (deel 2)

Het uitroeien van Flash (deel 2)

DearBytesBlogHet uitroeien van Flash (deel 2)

Vorige week is een nieuw maar zeer ernstig lek in Adobe Reader gebruikt om verschillende ministeries van Buitenlandse Zaken aan te vallen, waarbij aanvallers erin zijn geslaagd om de beveiliging van Google en Flash te omzeilen.

Afgelopen februari blogde ik al dat de beschikbaarheid van Adobe Flash op endpoints nodeloos risicovol is en dat het eigenlijk zou moeten worden verwijderd. Als onderliggende reden gaf ik aan dat onder meer het grote aantal kwetsbaarheden aan de basis ligt van dat standpunt. Misschien kwam dat advies wat aan de vroege kant, maar inmiddels ben ik allang niet meer de enige met dit standpunt. Het is oud, wordt niet meer ondersteund op bijvoorbeeld Android en creëert een enorm beveiligingsgat.

De cijfers

In 2005 kende Flash 1 kwetsbaarheid. In 2010 waren dat er 60. Dit jaar hebben we er al 199 en het jaar is nog niet voorbij. In een grafiek zorgt de exponentiële groei van kwetsbaarheden voor een hockeystick-achtige weergave, een duidelijk signaal dat er iets aan de hand is.

Flash and Silverlight Vulnerabilities per Year

Flash and Silverlight Vulnerabilities per Year

Internet Storm Center

Het Internet Storm Center (ISC) adviseert nu ook Flash uit te schakelen en daarbij komen ze met een extra advies. Wanneer Flash niet kan worden verwijderd, stel dan in dat Flash niet automatisch wordt gestart wanneer Flash content wordt aangeboden, maar laat de gebruiker kiezen. Dat is een oplossing, maar laat wel ruimte voor exploitatie. Ik zou voorstellen om Flash als add-in van Chrome volledig uit te schakelen en alle overige Flash-installaties van systemen te verwijderen. Andere oplossingen zeer effectief, zoals het blokkeren van Flash in McAfee Web Gateway, wat u gegarandeerd beschermt.

Webmasters

Als u een website beheert is het eveneens van belang dat u Flash uitbant. Aan de ene kant zorgt dit voor betere toegankelijkheid van uw site, aan de andere kant helpt u het probleem op te lossen. Ethisch gezien is deze benadering ook de juiste. U geeft een signaal af aan bezoekers dat u ze serieus neemt en niet wilt blootstellen aan allerlei gevaren. Tenslotte is het van belang dat u advertenties weert die gebruik maken van Flash. Het komt met regelmaat voor dat deze advertenties meer doen dan waarvoor ze bedoeld zijn.

Flash is dood

Ik heb wat voorbeelden genoemd van actie die kan worden ondernomen om het ecosysteem van eindgebruikers te verbeteren. De boodschap is in ieder geval duidelijk en opent de deur voor verbetering.

Flash moet weg, ik zei het in Februari al. Maar hoe staat het ervoor? Het gebruik van Flash neemt gestaag af, zo’n 10% van websites gebruikt het nog. Dat is goed nieuws, met name in security-land. Helaas neemt het aantal kwetsbaarheden explosief toe en is een te groot aantal gebruikers nog steeds afhankelijk en dus kwetsbaar.

Als u mijn blog uit februari hebt gemist of niet in staat was om Flash te verwijderen, is dit misschien een moment om dat opnieuw te bekijken. Mogelijk is uw afhankelijkheid van Flash nu niet -of minder- van toepassing en kunt u dit risico ten minste gedeeltelijk wegnemen of inhoudelijk verkleinen. De kwestie verdient in ieder geval uw aandacht. Meer informatie vindt u hier.