Firefox deja flash bloqueado por defecto

Finalmente a los de Mozilla no les ha quedado otra que deshabilitar Flash Player por defecto. Esto se debe a la larga lista de vulnerabilidades descubiertas hasta ahora y a las últimas vulnerabilidades descubiertas por la publicación de documentos de la empresa de seguridad «Hacking Team«.

Y es que la cosa no ha sido para menos, en las últimas semanas hemos podido ver cómo Hacking Team había estado vendiendo software que permitía infectar máquinas con su herramienta de vigilancia y control remoto usando una vulnerabilidad de Adobe Flash (CVE-2015-5119).  En la filtración (unos 400 Gigabytes de información) figuran al parecer facturas de gobiernos de algunos países por la compra de herramientas a esta empresa. Adobe no tardó en lanzar una actualización que la corregía y hasta aquí el susto… o eso parecía.

El famoso hackeo a la empresa italiana siguió dando sus frutos y poco tiempo después se descubrió otro 0Day que había estado circulando aprovechando otra vulnerabilidad de Adobe Flash. El equipo de seguridad de Adobe publicó una nota de seguridad advirtiendo acerca del fallo y publicando dos CVE (CVE-2015-5122 y CVE-2015-5123). Esta vez tardaron un poco más en publicar una actualización y podemos encontrar en github sources para explotar ésta vulnerabilidad, lo que hace que cualquiera con conocimientos acerca de seguridad y redes pueda fabricarse un exploit usando esta vulnerabilidad que, hasta hace unos días, estaba totalmente vigente y explotable. Esto ha hecho que algunos navegadores hayan tomado la iniciativa de dejar flash bloqueado por defecto. Adobe sacó una actualización el día 14 de Julio de 2015 que solucionaba los problemas de seguridad encontrados, en su artículo recomiendan comprobar la versión a través de su web y actualizar todos los plugins de Adobe Flash Player.

Existen alternativas a flash más seguras y que consumen menos recursos como HTML5, ya hay algunos sitios que lo incorporan en lugar del reproductor en ActionScript, como por ejemplo Youtube. La mejor solución, contando con el largo historial de vulnerabilidades, es eliminar flash y todos sus plugins por completo de nuestro sistema, ya que realmente, el usuario no es consciente cuando se produzca una infección a través de este vector. Y como podemos ver, nunca terminan de salir vulnerabilidades para flash.

Para habilitar los vídeos en HTML5 en Mozilla Firefox, debemos irnos a la barra donde escribimos de direcciones y escribir «about:config» una vez ahí buscamos la opción media.mediasource.enabled y la ponemos a true haciendo doble click encima de ella.

habilitarHTML5

Para habilitar en Youtube el reproductor HTML5 y olvidarte de historias, necesitas ir a esta página, donde verifican si tu navegador es compatible con HTML5, una vez ahí podremos hacer click en «Solicitar el reproductor HTML5» y todo estará listo.

UsandoHTML5