Aplicar la configuración de privacidad y seguridad global de Flash Player
- Categoría: Seguridad
Los habituales de Ghacks saben que es posible configurar Adobe Reader desde el administrador de configuración página en el sitio web de Macromedia. Los administradores del sistema y los expertos en seguridad han abordado dos problemas con la disponibilidad en línea del administrador de configuración. Los atacantes pueden, por ejemplo, falsificar certificados para realizar cambios en la configuración. Otro problema es que no es posible realizar cambios para todos los usuarios de un sistema.
Es un secreto bien guardado que Adobe Flash Player se puede configurar globalmente. Los administradores y usuarios que quieran hacer eso deben crear el archivo mms.cfg. Este archivo debe almacenarse en los siguientes directorios para que Flash Player pueda acceder a él:
- Windows:% Windir% System32 Macromed Flash
- Macintosh: / Biblioteca / Soporte de aplicaciones / Macromedia
- Linux: / etc / adobe /
Los siguientes parámetros son compatibles con el archivo de configuración:
- AllowUserLocalTrust Le permite evitar que los usuarios designen archivos de los sistemas de archivos locales como confiables.
- AssetCacheSize Le permite especificar un límite estricto, en MB, en la cantidad de almacenamiento local que utiliza Flash Player para el almacenamiento de componentes comunes de Flash.
- AutoUpdateDisable Le permite evitar que Flash Player busque e instale versiones actualizadas automáticamente.
- AutoUpdateInterval Le permite especificar con qué frecuencia buscar una versión actualizada de Flash Player.
- AVHardwareDisable Le permite evitar que los archivos SWF accedan a cámaras web o micrófonos.
- DisableDeviceFontEnumeration Le permite evitar que se muestre información sobre las fuentes instaladas.
- DisableNetworkAndFilesystemInHostApp Le permite evitar el acceso a redes o al sistema de archivos de cualquier tipo.
- DisableProductDownload Le permite evitar que se descarguen aplicaciones de código nativo firmadas digitalmente y entregadas por Adobe.
- DisableSockets Le permite habilitar o deshabilitar el uso de los métodos Socket.connect () y XMLSocket.connect ().
- EnableSocketsTo Le permite crear una lista blanca de servidores a los que se permiten conexiones de socket.
- EnforceLocalSecurityInActiveXHostApp Le permite hacer cumplir las reglas de seguridad locales para una aplicación específica.
- FileDownloadDisable Le permite evitar que la API FileReference de ActionScript realice descargas de archivos.
- FileUploadDisable Le permite evitar que la API FileReference de ActionScript realice cargas de archivos.
- FullScreenDisable Le permite desactivar la reproducción de archivos SWF a través de un complemento de navegador para que no se muestren en modo de pantalla completa.
- LegacyDomainMatching Le permite especificar si los archivos SWF generados para Flash Player 6 y versiones anteriores pueden ejecutar una operación que se ha restringido en una versión más reciente de Flash Player.
- LocalFileLegacyAction Le permite especificar cómo determina Flash Player si ejecutar determinados archivos SWF locales que se produjeron originalmente para Flash Player 7 y versiones anteriores.
- LocalFileReadDisable Le permite evitar que los archivos SWF locales tengan acceso de lectura a los archivos de los discos duros locales.
- LocalStorageLimit Le permite especificar un límite estricto en la cantidad de almacenamiento local que utiliza Flash Player (por dominio) para los objetos compartidos persistentes.
- OverrideGPUValidation Anula la validación de los requisitos necesarios para implementar la composición de GPU.
- ProductDisabled Crea una lista de aplicaciones ProductManager que los usuarios no pueden instalar o ejecutar.
- RTMFPP2P Desactivado Especifica cómo el constructor NetStream se conecta a un servidor cuando se especifica un valor para peerID, el segundo parámetro que se pasa al constructor.
- RTMFPTURNProxy Permite que Flash Player realice conexiones RTMFP a través del servidor TURN especificado además de los sockets UDP normales.
- ThirdPartyStorage Le permite especificar si los archivos SWF de terceros pueden leer y escribir objetos compartidos persistentes localmente.
La mayoría de las opciones se pueden establecer en 0 = falso o 1 = verdadero. Un ejemplo básico es el comando AVHardwareDisable = 1, que bloquea el acceso a archivos SWF a cámaras web y micrófonos. Un valor de 0 permite al usuario configurar la configuración en el Administrador de configuración.
Parámetros de privacidad:
AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]
Define si los archivos SWF pueden extraer la lista de fuentes instaladas del sistema informático. Establecerlo en 1 significa que no pueden hacer eso, mientras que 0 significa que se puede devolver la información.
Parámetros de la interfaz de usuario:
FullScreenDisable = [0,1]
Define si un archivo SWF se puede mostrar en modo de pantalla completa. Un valor de 1 evita eso, mientras que 0 lo permite.
Opciones de carga y almacenamiento de datos:
LocalFileReadDisable = [0,1]
Un valor de 1 evita que los archivos SWF locales tengan acceso de lectura a los archivos del disco duro local, lo que significa que los archivos SWF locales no se pueden ejecutar. Los SWF remotos no pueden cargar ni descargar archivos.
FileDownloadDisable = [0,1]
Establecer el parámetro en 1 deshabilita las descargas de archivos, mientras que 0 lo permite.
FileUploadDisable = [0,1]
Lo mismo que FileDownloadDisable, con la diferencia de que bloquea o permite la carga de archivos.
LocalStorageLimit = [1,2,3,4,5,6]
Esto establece el límite de almacenamiento local que Flash Player puede asignar por dominio. (1 = sin almacenamiento, 2 = 10 KB, 3 = 100 KB, 4 = 1 MB, 5 = 10 MB, 6 = sin límite]
ThirdPartyStorage = [0,1]
Si este valor se establece en 1, los archivos SWF de terceros (aquellos que se originan en un dominio diferente al actual) pueden leer y escribir objetos compartidos persistentes localmente. Si este valor se establece en 0, los archivos SWF de terceros no pueden leer ni escribir objetos compartidos persistentes localmente.
AssetCacheSize = [0, número de megabytes]
Este valor especifica un límite estricto, en MB, sobre la cantidad de almacenamiento local que utiliza Flash Player para el almacenamiento de componentes Flash comunes. Si esta opción no está incluida en el archivo mms.cfg, el Administrador de configuración permite al usuario especificar si permite el almacenamiento de componentes. Sin embargo, el usuario no puede especificar cuánto espacio de almacenamiento local utilizará. El límite predeterminado es 20 MB.
Opciones de actualización:
AutoUpdateDisable = [0.1]
Si se establece en 1, Flash Player desactiva la actualización automática. Esto evita que Flash Player busque versiones actualizadas periódicamente. Si se establece en 1, se ignoran los siguientes parámetros.
AutoUpdateInterval = [número de días]
Define el intervalo en el que Flash Player busca nuevas versiones. El valor predeterminado es 30 días.
DisableProductDownload = [0,1]
Si este valor se establece en 0 (el valor predeterminado), Flash Player puede instalar aplicaciones de código nativo firmadas y entregadas digitalmente por Adobe. Adobe utiliza esta capacidad para entregar actualizaciones de Flash Player a través del proceso de instalación rápida iniciado por el desarrollador y para brindar la funcionalidad de compartir pantalla de Adobe Acrobat Connect. Si este valor se establece en 1, estas capacidades están deshabilitadas.
ProductDisabled = nombre de la aplicación
TEsta opción es efectiva solo cuando DisableProductDownload tiene un valor de 0 o no está presente en el archivo mms.cfg; crea una lista de aplicaciones ProductManager que los usuarios no pueden instalar o ejecutar.
Opciones de seguridad:
LegacyDomainMatching = [0,1]
Esta configuración controla si se permite que un archivo SWF generado para Flash Player 6 y versiones anteriores ejecute una operación que se ha restringido en una versión más reciente de Flash Player.
LocalFileLegacyAction = [0,1]
Esta configuración controla cómo Flash Player determina si se deben ejecutar ciertos archivos SWF locales que se produjeron originalmente para Flash Player 7 y versiones anteriores.
AllowUserLocalTrust = [0,1]
Esta configuración le permite evitar que los usuarios designen archivos en los sistemas de archivos locales como confiables (es decir, colocarlos en la zona de pruebas de confianza local). Esta configuración se aplica a los archivos SWF publicados para cualquier versión de Flash.
EnforceLocalSecurityInActiveXHostApp = nombre de archivo ejecutable
De forma predeterminada, la seguridad local está deshabilitada siempre que el control ActiveX se esté ejecutando en una aplicación de host que no sea un navegador. En casos excepcionales, cuando esto cause un problema, puede usar esta configuración para hacer cumplir las reglas de seguridad locales para la aplicación especificada. Puede aplicar la seguridad local para múltiples aplicaciones ingresando una entrada EnforceLocalSecurityInActiveXHostApp separada para cada aplicación.
DisableNetworkAndFilesystemInHostApp = nombre de archivo ejecutable
Esta opción es similar a EnforceLocalSecurityInActiveXHostApp, pero se aplica tanto a los complementos como al control ActiveX e impone controles de seguridad más estrictos. Cuando se ejecuta un complemento o control ActiveX dentro de una aplicación especificada, será como si se hubiera especificado el parámetro HTML allowNetworking = 'none'. Es decir, no se permitirá ningún tipo de acceso a redes o sistemas de archivos, y el SWF que se ejecuta en Flash Player se ejecutará sin la capacidad de cargar ningún medio adicional o comunicarse con ningún servidor. Puede hacer cumplir la seguridad local para varias aplicaciones ingresando un
Opciones de conexión de enchufe
DisableSockets = [0,1]
Esta opción habilita o deshabilita el uso de Socket.connect () y
Métodos XMLSocket.connect (). Si no incluye esta opción en el archivo mms.cfg, o si su valor se establece en 0, se permiten conexiones de socket a cualquier servidor. Si este valor se establece en 1, no se permiten conexiones de socket. Sin embargo, si desea deshabilitar algunas pero no todas las conexiones de socket, establezca este valor en 1 y luego use EnableSocketsTo para especificar uno o más servidores a los que se pueden realizar conexiones de socket.
EnableSocketsto = [nombre de host, dirección IP]
Esta opción es efectiva solo cuando DisableSockets tiene un valor de 1; crea una lista blanca de servidores a los que se permiten conexiones de socket. A diferencia de la mayoría de las otras opciones de mms.cfg, puede utilizar esta opción tantas veces como sea apropiado para su entorno. Tenga en cuenta que los servidores especificados son servidores de destino, a los que se realizan conexiones de socket; no son servidores de origen, desde los que se sirven los archivos SWF de conexión.
Composición de GPU:
OverrideGPUValidation = [0, 1]
La función de composición de GPU está activada por la versión del controlador para tarjetas de video. Si una combinación de tarjeta y controlador no coincide con los requisitos necesarios para implementar la composición, configure OverrideGPUValidation en 1 para anular la validación de los requisitos del controlador. Por ejemplo, es posible que desee habilitar la composición de GPU durante un conjunto de pruebas específico, incluso si el controlador de video en la máquina de prueba no cumple con los requisitos de composición. Esta configuración anula la activación de la versión del controlador, pero aún verifica los requisitos de VRAM.
Opciones de RTMFP:
RTMFPP2PDisable = [0, 1]
Esta opción especifica cómo el constructor de NetStream se conecta a un servidor cuando se especifica un valor para peerID, el segundo parámetro que se pasa al constructor. Si RTMFPP2PDisable tiene un valor de 0 o no está presente en el archivo mms.cfg, se puede utilizar una conexión peer-to-peer (P2P). Si este valor es 1, cualquier valor especificado para peerID se ignora y las conexiones P2P son d
RTMFPTURNProxy = URL del servidor proxy TURN
Si esta opción está presente, Flash Player intenta realizar conexiones RTMFP a través del servidor TURN especificado además de los sockets UDP normales. Los servidores TURN son útiles para transmitir el tráfico de red RTMFP a través de firewalls que, de lo contrario, bloquean los paquetes UDP.
Información Adicional:
guía de administración de flash player 10.0
Sitio web de la guía de administración de Adobe Flash Player 10.
Ejemplo de configuración de mms
Vulnerabilidad de hombre en el medio reciente [alemán]
La configuración es un archivo de ejemplo básico, que deshabilita las comprobaciones de actualización, el hardware y la enumeración de fuentes. (gracias a Hubert por enviar la propina).