Flash漏洞儼然己成為病毒、木馬入侵的一條捷徑,前陣子鬧得沸沸揚揚的勒索病毒大爆發,經調查就是經由雅虎網頁廣告傳播,透過Flash漏洞感染,再加上使用者未開啟UAC,只是瀏覽網頁就中毒。

因為Flash沒更新,不過上網看個網頁就中獎,怎麼想都覺得可怕。更何況不是去什麼見不得人的網站充實D槽,也沒有胡亂下載安裝軟體,只不過看了每天都可能光臨的入口網站就中鏢,像是走在路上無端被招牌砸頭,無比冤枉。因此,得保持Flash即時更新到最新版,才能讓自己消災解厄!

研究之後,我找到一個檢查Flash版本的好方法,連上Adobe Flash Player的關於頁面-http://www.adobe.com/tw/software/flash/about/,網頁會同時顯示目前安裝Flash版本以及各平台最新版本清單,比對下版本數字,即可確保電腦已安裝最新版Flash,將中毒風險降到最低。

連上網頁後,如下圖所示,網頁下方有個表格列出各平台各瀏覽器的最新版本,而紅框內則是瀏覽器目前安裝版本,二者版號一致代表已安裝最新版。

另外,Flash有自動更新功能,建議開啟。檢查自動更新設定可在上圖紅框位置按右鍵選「全域設定」:

請確認「更新」頁籤的更新設定為「允許Adobe安裝更新」或「通知我安裝更新」,也可降低Flash版本太舊中毒的風險:

另外,Windows 7(Vista)起有個「使用者帳戶控制設定」(UAC)功能,遇到有程式在背後變更Windows設定時會跳出提醒。如果沒有安裝程式卻冒出提醒,你就該提高驚覺,判斷變更設定的程式來源是否可靠再決定要不要放行。遇上惡意程式攻擊時,有時能救你一命。參考:多想兩分鐘,你可以不必教User關掉Vista UAC

UAC設定共有四級,建議大家維持預設值第二選項(第一選項更安全,但連手動改設定都會跳警告有點煩人,只適合安全偏執狂),不要切成第三及第四選項。

關於UAC的更多細節,可參考:

坊間有一大堆教你把UAC關掉的教學,如同拆掉警報器換取耳根清靜,但相對在危險關鍵時刻也少了一層保命防護,大家自行斟酌吧!

2016-06-19 補充:與Demo聊到,在Google上查UAC教你關掉它的文章比介紹其用途的文章多一倍,原因之一應是當年Vista時代剛推出時設計不良太過煩人。但歷經改良後,現在的UAC己經比當年機靈通人性,不再那麼惹人生厭。如果你因為當年的壞印象或聽了別人的說法才關閉它,基於UAC在本事件護駕有功,建議開啟它再體驗一次是否能接受,畢竟,良藥苦口。 如果試用後還是決定關閉,願原力與你同在!:P


Comments

# by 霧隱虎

黑大您好,我是霧隱虎,有個問題想要請教: 您是否會建議完全反安裝Flash player以永絕後患?

# by Jeffrey

to 霧隱虎,Flash遲早會走入歷史(Chrome預計在今年底封鎖Flash),目前很多網站已不再依賴Flash(最簡單的檢測方法是網頁在手機平板上是否仍能運作),但要實現上「任何網站」都不需要Flash還遙遙無期!移除Flash會沒法使用某些網站,看你覺得值不值得為了安全放棄這些沒跟上時代的網站。

Post a comment