Hace unos días llegó la noticia de la
propia Adobe: Flash se acaba en 2020. Fin de la cita y fin de una era.
Aunque en su nota de prensa no
mencionan ni de pasada las 1033 vulnerabilidades de seguridad (casi todas de
máxima gravedad) que salen en una búsqueda rápida, Adobe alega únicamente un
cambio de rumbo en la tecnología hacia estándares más abiertos, tales como
HTML5 y WebGL.
Lo de Flash era una muerte anunciada.
No podía ser de otro modo. Arrinconado por las vulnerabilidades, autentica
puerta de entrada de toda clase de malware, y denostado por los buscadores,
Flash fue reduciendo su masa de usuarios, desarrolladores y navegadores que lo
soportan. Es incontable la cantidad de exploits que usan Flash como vector de
explotación (junto con Adobe PDF Reader o Java, el tridente de la inseguridad).
Es tal el ritmo de aparición de CVE sobre Flash que hasta dejaron de ser
noticia.
Aunque Adobe fija su fin en 2020,
todavía nos quedarán los rescoldos de una larga batalla por la expulsión de
Flash del campo de juego del navegador. Engaños a usuarios desprevenidos
(“pinche aquí amigo, instálese la última versión de Flash”, “Ah, ¿pero no había
desaparecido?”, “pinche aquí amigo”, “vale, vale, pincho”) o navegadores sin
actualizar. Sorprende que incluso con la política de actualizaciones
automáticas todavía hay usuarios que no reinician el navegador para aplicarlas.
Eso nos deja una pequeña rendija abierta en la ventana de exposición.
Flash no se queda solo. Los lectores
de PDF incrustados en el navegador van siendo desplazados por el propio lector
hecho en Javascript (no es broma, hecho en puro Javascript). Esto permite
cerrar la vía a esos auténticos monstruos salidos de la mente de un escritor
pasado de absenta que son los complementos nativos, auténticos quebraderos de
cabeza de la navegación segura.
Otro que va borrando su mala impronta
es Java. Hace tiempo que fue noticia su práctico baneo por los principales
navegadores, y su uso generalista se ve marginado a ciertas aplicaciones
obsoletas y sin mantenimiento, por ejemplo, algunas webs gubernamentales en las
que te exigen “INTERNET EXPLORER 5.5 o superior / Java RunTime Environment Sun
Versión 1.4.2. o superior” (la cita es textual, de la página de un Ministerio).
Quién ha instalado una máquina virtual con un Windows 2000 y Java 1.4 obsoletos
para firmar digitalmente sabe de qué se está hablando. Ahora esa misma firma
electrónica se efectúa en, sorpresa, Javascript.
Más información:
- flash & the
future of interactive content https://blogs.adobe.com/conversations/2017/07/adobe-flash-update.html
- Navegadores
inseguros http://unaaldia.hispasec.com/1998/10/navegadores-inseguros.html
Fuente: Hispsaec