Hvis du trenger en annen grunn til ikke å bruke Flash-lenger, en ny sikkerhetsrapport av Registrert Fremtiden kan overbevise deg til å tenke på dette i det minste.
Selskapet analysert 141 utnytter kits som var tilgjengelig mellom November 16, 2015 og November 15, 2016.
Den største takeaway av undersøkelsen er at Adobe Flash sårbarheter gjort opp seks av de ti øverste diagram flekker.
Flash var ikke den eneste programvaren som exploit kits målrettet i det siste året om. Faktisk, det finnes et sikkerhetsproblem i Microsoft Internet Explorer topper tabellen, etterfulgt av tre-Flash-sårbarheter og deretter en Microsoft Silverlight sårbarhet.
En Windows-sårbarhet kommer inn på syv, og et annet sikkerhetsproblem i Internet Explorer på ni. De resterende steder er alle fylt av Flash sårbarheter
via https://www.recordedfuture.com/top-vulnerabilities-2016/
Flash gjorde det bedre i år enn i fjor. Siste år, Flash toppet de første åtte steder av topp ti sårbarheter listen brukes av exploit kits, med Internet Explorer og Silverlight å ta opp de to siste plassene.
Så langt som den metode som er bekymret for at Registrert Fremtiden brukes til å generere rapporten: det gjorde ikke reversere exploit kits eller bruke andre former for direkte analyse. I stedet blir det brukt meta informasjon tilgjengelig på Internett for å beregne informasjon.
Registrert Fremtiden ikke reversere noe malware som er nevnt i denne analysen og i stedet utførte en meta-analyse av tilgjengelig informasjon fra nettet. Utnytter for dusinvis av andre sårbarheter er for tiden ansatt ved EKs og denne rapportens hensikt er å markere toppen mål av populære exploit-kits.
Dette betyr at sikkerhetsproblemene er ikke nødvendigvis gradert etter alvorlighetsgrad, eller innvirkning på brukernes systemer. I stedet, de sårbarheter som er gradert av referanser til dem på sikkerhet nettsteder, forum og slikt.
Dette kan lett sees ved å se på sårbarhet adopsjon ved å utnytte kit-diagram som opprettet selskapet.
via https://www.recordedfuture.com/top-vulnerabilities-2016/
Mens de første fem sikkerhetsproblemer som er oppført alle ble utnyttet av tre eller fire exploit kits, det var den Flash-sårbarhet i det tiende sted som ble utnyttet de (syv ganger).
Rapporten avsluttes med anbefalinger. Disse inkluderer de vanlige: patch for system-og programvare, fjern programvaren hvis den ikke er nødvendig for kjernevirksomhet, aktivere klikk for å spille, kan du bruke skript blockers, skape hyppige sikkerhetskopier, og bruker Chrome hvis det er mulig.
Topp 10 sårbarheter
CVE-2016-0189 — Microsoft JScript 5.8 og VBScript 5.7 og 5.8 motorer, som brukes i Internet Explorer 9 til 11, og andre produkter, utnyttes av eksterne angripere til å kjøre vilkårlig kode eller føre til tjenestenekt (denial of service (minneødeleggelse) via en utformet nettsted, aka “Scripting Engine minneødeleggelse
CVE-2016-1019 — Adobe Flash Player 21.0.0.197 og tidligere lar eksterne angripere til å forårsake tjenestenekt (denial of service (program krasjer), eller eventuelt å utføre vilkårlig kode via uspesifisert vektorer, som brukt i felten i April 2016.
CVE-2016-4117 — Adobe Flash Player 21.0.0.226 og tidligere lar eksterne angripere å kjøre vilkårlig kode via uspesifisert vektorer, som brukt i felten i Mai 2016.
CVE-2015-8651 — problem med heltallsoverflyt i Adobe Flash Player før 18.0.0.324 og 19.x og 20.x før 20.0.0.267 på Windows og OS X, og før 11.2.202.559 på Linux, Adobe AIR før 20.0.0.233, Adobe AIR SDK før 20.0.0.233, og Adobe AIR SDK & Kompilatoren før 20.0.0.233 gjør at angriperne er i stand til å kjøre vilkårlig kode via uspesifisert vektorer.
CVE-2016-0034 — Microsoft Silverlight 5 før 5.1.41212.0 mishandles negative kvoter under dekoding, som gjør det mulig for eksterne angripere å kjøre vilkårlig kode eller føre til tjenestenekt (denial of service (objekt-header korrupsjon) via en utformede nettsider.
CVE-2016-1010 — problem med heltallsoverflyt i Adobe Flash Player før 18.0.0.333 og 19.x gjennom 21.x før 21.0.0.182 på Windows og OS X, og før 11.2.202.577 på Linux, Adobe AIR før 21.0.0.176, Adobe AIR SDK før 21.0.0.176, og Adobe AIR SDK & Kompilatoren før 21.0.0.176 gjør at angriperne er i stand til å kjøre vilkårlig kode via uspesifisert vektorer
CVE-2016-4113 –Uspesifisert sikkerhetsbrudd i Adobe Flash Player 21.0.0.213 og eldre, som brukes i Adobe Flash-biblioteker i Microsoft Internet Explorer 10 og 11 og Microsoft Kanten, har ukjente konsekvenser og angrepsvektorer
CVE-2015-8446 — Heap-basert bufferoverflyt i Adobe Flash Player før 18.0.0.268 og 19.x og 20.x før 20.0.0.228 på Windows og OS X, og før 11.2.202.554 på Linux, Adobe AIR før 20.0.0.204, Adobe AIR SDK før 20.0.0.204, og Adobe AIR SDK & Kompilatoren før 20.0.0.204 gjør at angriperne er i stand til å kjøre vilkårlig kode via en MP3-fil med KOMM koder som er feilhåndtert under memory allocation
CVE-2016-3298 — Microsoft Internet Explorer 9 til 11 og Internett Messaging API i Windows Vista SP2, Windows Server 2008 SP2 og R2 SP1 og Windows 7 SP1 utnyttes av eksterne angripere til å fastslå eksistensen av vilkårlige filer via en utformede nettsider.
CVE-2015-7645 — Adobe Flash Player 18.x gjennom 18.0.0.252 og 19.x gjennom 19.0.0.207 på Windows og OS X og 11.x gjennom 11.2.202.535 på Linux lar eksterne angripere å kjøre vilkårlig kode via en opprettet SWF-fil, som brukt i felten i oktober 2015.