Apie slaptą „Microsoft Edge“ „Flash“ baltąjį sąrašą

„Microsoft Edge“ žiniatinklio naršyklės vartotojai naudoja slaptą „Flash“ baltąjį sąrašą, kuris leidžia „Flash“ turiniui paleisti be paspaudimo, kad būtų apsaugota įtrauktose svetainėse.

„Microsoft Edge“, numatytoji „Microsoft Windows 10“ operacinės sistemos naršyklė, palaiko „Adobe Flash“. „Flash“ naršyklėje nustatyta taip, kad būtų galima spustelėti ir leisti, o vartotojai gali visiškai išjungti „Flash“ naršyklės nustatymuose.

„Microsoft“ reguliariai išleidžia „Flash“ naujinius įmonės mėnesio pataisų dieną, kad išspręstų „Flash“ aptiktas saugos problemas.

Neseniai paaiškėjo, kad „Microsoft“ įdiegė „Flash“ baltąjį sąrašą, kuris leido „Flash“ turiniui veikti 58 skirtinguose domenuose be vartotojo sąveikos. Šiame sąraše buvo „Deezer“, „Facebook“, MSN portalas, „Yahoo“ ar „QQ“, bet taip pat įrašų, kurių nebūtinai galima tikėtis tokiame sąraše kaip Ispanijos kirpykla.

„Microsoft“ apribojo šio mėnesio „Patch Antradienio“ atnaujinimo sąrašą tik su dviem „Facebook“ įrašais ir privertė naudoti HTTPS šiose svetainėse po to, kai „Google“ inžinierius 2018 m. Pabaigoje įmonei pateikė pranešimą apie klaidą.

„Microsoft“ panaikino sąrašą ir „Google“ inžinierius turėjo jį nulaužti naudodamas žinomų ir populiarių domenų vardų žodyną.

Remiantis pranešimu apie klaidą, „Flash“ turiniui leidžiama įkelti, jei jis priglobtas viename iš baltųjų sąrašų domenų arba jei „Flash“ elementas yra didesnis nei 398x298 pikselių.

Užpuolikai gali išnaudoti sąrašą norėdami apeiti paspaudimus ir visiškai žaisti politiką arba naudoti XSS pažeidžiamumą kai kuriose įtrauktose svetainėse. „Microsoft Edge“ gerbia „Flash“ paspaudimą, kad būtų paleista politika visose kitose svetainėse. Vartotojai turi leisti vykdyti „Flash“ turinį „Microsoft Edge“ svetainėse, kurios nėra įtrauktos į baltąjį sąrašą.

Neaišku, kodėl „Microsoft“ pridėjo baltąjį sąrašą; gali būti, kad ji tai padarė norėdama pagerinti suderinamumą pasirinktose svetainėse. Nors tai būtų prasminga tokiose pagrindinėse svetainėse kaip „Flashbook“, kuriose vis dar yra „Flash“ turinys, neaišku, kuriuos parametrus „Microsoft“ naudojo sąrašui sudaryti.

Šiame sąraše yra keletas arcade svetainių, kuriose yra „Flash“ žaidimų, tačiau nepateikiamos tokios pat populiarios arcade svetainės, kuriose taip pat yra „Flash“ žaidimų. Įspūdinga, kad kai kurios svetainės yra sąraše, o kitos ne. Gali būti, kad kai kurios svetainės buvo pridėtos

Kreipėmės į „Microsoft“ norėdami pakomentuoti, tačiau dar negirdėjome. Straipsnį atnaujinsime, jei paaiškės papildoma informacija.

Uždarymo žodžiai

Įsivaizduojama, kad „Microsoft“ pridėtų „Flash“ baltąjį sąrašą prie savo „Edge“ naršyklės, manydama, kad „Microsoft“ niekada neišryškina „Edge“ saugos ypatybių. Saugumo požiūriu net ir populiariose svetainėse yra sudėtinga leisti svetainėms paleisti „Flash“ turinį be vartotojo leidimo.

Atimti valdymą ir neatskleisti fakto vartotojams yra labai sudėtinga ne tik saugumo, bet ir pasitikėjimo požiūriu.

Dabar jūs : koks jūsų požiūris į tai?