Advertencia "Shockwave Flash es conocido por ser vulnerable"

22

¡Buena noches!

Hoy, apagué mi computadora sin ningún problema y salí. Cuando regresé e intenté navegar por la red, vi que mi Firefox comenzó a darme este problema:

"Se sabe que Shockwave Flash es vulnerable"

Investigué al respecto y desinstalé e instalé el complemento Adobe Flash Player, pero no funcionó. También mi reproductor flash está actualizado. (Versión: 11.02.202.481). Y uso Lubuntu por cierto.

¡Gracias por tu apoyo!

lubuntu firefox flash Mabox
fuente
3
Entonces, ¿cuál es tu pregunta? Todo lo que veo son un montón de declaraciones declarativas. Los sitios de Stack Exchange son para preguntas específicas y con respuesta: no veo ninguna pregunta en su pregunta. Te animo a editarlo para aclarar lo que estás preguntando (y qué investigación has hecho). No nos haga adivinar ni asumir cuál es su pregunta.
DW

Respuestas:

21

Mozilla, que desarrolla Firefox, impuso el bloqueo porque los ciberdelincuentes estaban utilizando activamente los errores descubiertos recientemente en Flash.

Los errores se detallaron en un caché de documentos robados de la empresa de seguridad Hacking Team que fueron atacados por atacantes la semana pasada.

Adobe dijo que se tomó la seguridad de Flash "en serio" y que estaba planeando la corrección de errores.

Fuente

Ahora no hay forma de hacerlo siempre activo sin alguna indicación, pero debe ser capaz de permitir Flash para contenido individual presionando Activate Adobe Flash:

ingrese la descripción de la imagen aquí

O puede habilitarlo para el sitio, e incluso elegir recordar que desea que esté activo para ese sitio:

ingrese la descripción de la imagen aquí


fuente
1
Sé que Firefox deshabilita el complemento porque es antiguo y su código quiere ver una versión más reciente; la solución es el complemento envoltorio que utiliza el complemento Pepper Flash de Chrome en lugar del antiguo complemento nativo de Linux para Flash.
Thomas Ward
1
Sin embargo, su nota acerca de que Firefox deshabilita Flash debido a las vulnerabilidades recientes no es la única razón, y ha solicitado el lado de Linux desde que descontinuaron las versiones más recientes porque la Versión Num <SomeVal. Es cierto que las principales vulnerabilidades recientes han llevado esto a TODAS las versiones actuales de Firefox y similares, sin embargo, este problema de Flash no habilitado ha existido desde antes de las últimas vulnerabilidades. La solución es actualizarlo (lo que no podemos hacer ya que no hay nuevos complementos desde que Adobe retiró el soporte), o usar Chrome (y el propio Chrome o el envoltorio de Firefox que usa Pepper Flash)
Thomas Ward
2
Terrible UX. No podría importarme menos si Flash se deshabilita en sitios web aleatorios, solo tengo flash habilitado en Youtube, pero el hecho de que me vuelva a activar para volver a habilitarlo con un pequeño icono en la barra de direcciones es horrible y solo el último ejemplo de software tratando de ser demasiado inteligente. ¿Podría tener una ventana emergente, como, ya sabes, cualquier otro aviso en Firefox?
Thomas
44
Flash 11 para Linux todavía está recibiendo actualizaciones de seguridad, pero el problema aquí es que Adobe en general tiene un historial terrible de crear dichas actualizaciones en primer lugar.
Michael Hampton
2
@Thomas También está entrando peligrosamente en el territorio del "software que intenta impulsar la agenda de sus creadores" IMO (independientemente de si esa agenda ayuda a los usuarios o no)
user253751
19

La forma aceptada de obtener Flash en Ubuntu y Linux, y una versión reciente, es con Google Chrome, ya que es el único navegador que envía una versión Flash.

Adobe dejó de admitir Flash para Linux (incluso en Firefox) alrededor de la versión 11. Ya no producen ninguna versión 'nueva' de Flash para Linux y la forma en que Firefox maneja los complementos. Debido al número de versión realmente antiguo (18 es el último Flash en general, y 11 es la última versión de complemento de Firefox compatible disponible para Linux), y otras preocupaciones de seguridad, Firefox desactiva automáticamente estas versiones 'antiguas'. Esto se aplica a todos los sistemas operativos, no solo a Ubuntu y * nix. (Si bien @ParanoidPanda es correcto, ahora imponen que para algunas versiones adicionales en todas las plataformas, esta no es la razón principal de esta advertencia en Ubuntu / Firefox).

Sin embargo, a pesar de que Adobe obtuvo soporte nativo para los formatos de API de plugin de Firefox para Linux y otros, Adobe y Google tienen un acuerdo. Este acuerdo le permite a Google enviar Flash actualizado que usa el marco Pepper API, y está incluido en Google.

Hay programas de envoltura que se pueden instalar en Firefox que aprovechan el uso de Pepper Flash en Chrome, siempre que instale Chrome. Sin embargo, la mayoría de los usuarios simplemente cambian a Chrome cuando este es el caso.

Te sugiero que instales Chrome y lo utilices para navegar y usar sitios Flash (siempre que lo mantengas actualizado).

Sin embargo, tenga en cuenta que no hay forma de evitar este cambio en la política de Firefox. Hay una página en la base de conocimiento del Equipo de Seguridad que detalla un poco más este problema, o al menos, proporciona una línea de tiempo para todos los eventos relacionados con esto.

Thomas Ward
fuente
1
Pregunta: ¿Chromium admite Pepper Flash? De todos modos, probablemente sea mejor evitar usar Flash en sitios web; un sitio que todavía usa Flash probablemente no esté actualizado con la seguridad.
Paddy Landau
1
@PaddyLandau Creo que hay una guía en algún lugar para hacer que Pepper Flash funcione en Chromium, o incluso un paquete para hacerlo, sin embargo, no me cite al respecto ya que no uso Chromium, así que no puedo dar fe de ello.
Thomas Ward
1
Puedo confirmar que Chromium es compatible con Pepper Flash. Mi instalación actual: Chromium 43.0.2357.130 (Ubuntu 15.04) OS Linux Plugin 11.2.999.999 /usr/lib/adobe-flashplugin/libpepflashplayer.so
user173876
1
@ThomasW. El paquete que instala Pepper Flash para Chromium se llama pepperflashplugin-nonfree y el complemento NPAPI aún recibe actualizaciones de seguridad como se menciona en su último enlace a la Wiki.
LiveWireBT
1

Tratando de responder la pregunta obvia:

¿Qué hacer?

  • Asegúrese de que la computadora esté conectada a Internet y actualice su instalación con:
    • update-managerdesde el tablero
    • o sudo apt-get update y sudo apt-get dist-upgrade de la terminal de (comprobación de si el primer comando devuelve errores, una razón por la que no recomiendo el encadenamiento de ambos con &&aquí)
    • o cualquier administrador de paquetes o front end para su distribución / sabor.
  • Compruebe que el número de versión de Flash en la página del complemento correspondiente en la configuración de su navegador coincide exactamente con el número de versión publicado en el sitio de Adobes para Flash .
    • Si no lo intenta sudo apt-get install --reinstall flashplugin-installercon el complemento NPAPI (Firefox y otros) o reemplácelo pepperflashplugin-nonfreesi usa Chromium.
  • Si su navegador aún informa que este complemento es vulnerable y no hay una versión más nueva disponible actualmente, elija:
    • Utilice alternativas como HTML5 siempre que estén disponibles.
    • Elige otro navegador. (Chrome ya se ha ganado la dudosa reputación de ser un equivalente moderno de Flash Player).
    • Espere una versión actualizada del complemento para su navegador. Esto puede variar de días a meses o años.
    • Elija que no vale la pena correr el riesgo de ejecutar Flash.
      • Proporcione comentarios útiles (!) A quien sea responsable de que este contenido solo se distribuya a través de Flash.
      • Si solo se trata de video o audio y en ausencia de una implementación HTML5, intente descargar la transmisión de video / audio o el archivo usando herramientas populares para esta tarea o cavando manualmente a través de la fuente del sitio. (Esto puede considerarse un delito en algunos casos).
    • Ejecute Flash de todos modos. (Verifique las opciones en su navegador).
      • Pro: La vulnerabilidad existía antes y no te pasó nada [a ti].
      • Con: una vulnerabilidad grave ahora es conocida por todos los desarrolladores de ransomware de forma gratuita. El ransomware es un negocio rápido y "serio".
LiveWireBT
fuente