A Microsoft Edge webböngészője egy titkos Flash engedélyezési listát használ, amely lehetővé teszi a Flash tartalom kattintás nélküli futtatását a védelem érdekében a mellékelt webhelyeken.
A Microsoft Edge, a Microsoft Windows 10 operációs rendszer alapértelmezett böngészője natív módon támogatja az Adobe Flash alkalmazást. A Flash úgy van beállítva, hogy kattintásra lejátsszon a böngészőben, és a felhasználók a böngésző beállításaiban teljes egészében letilthatják a Flash alkalmazást.
A Microsoft rendszeresen kiadja a Flash frissítéseit a vállalat havi javítónapján, hogy javítsa a Flashben felfedezett biztonsági problémákat.
Nemrégiben derült fényre, hogy a Microsoft bevezette a Flash engedélyezési listát, amely lehetővé tette a Flash tartalom 58 különféle tartományon történő működését felhasználói beavatkozás nélkül. A listán szereplő webhelyek között szerepelt a Deezer, a Facebook, az MSN portál, a Yahoo vagy a QQ, de olyan bejegyzések is voltak, amelyeket nem feltétlenül várnának ilyen listán, mint például egy spanyol fodrászat.
A Microsoft csak a két Facebook-bejegyzésre korlátozta a havi Patch kedd frissítésének listáját, és kényszerítette a HTTPS használatát ezeken az oldalakon, miután egy Google mérnök 2018 végén hibajelentést nyújtott be a vállalathoz.
A Microsoft eltakarította a listát, és a Google mérnökének az ismert és népszerű domainnevek szótárával kellett feltörnie.
A hibajelentés szerint a Flash-tartalom betölthető, ha az egyik a engedélyezett listán szereplő domainben található, vagy ha a Flash elem nagyobb, mint 398x298 pixel.
A támadók kihasználhatják a listát, hogy megkerüljék a kattintást az irányelvek teljes lejátszásához, vagy használják az XSS sebezhetőségét a mellékelt webhelyek némelyikén. A Microsoft Edge tiszteletben tartja a Flash kattintást az összes többi webhely házirendjének lejátszásához. A felhasználóknak engedélyezniük kell a Flash-tartalom végrehajtását a Microsoft Edge-ben a nem engedélyezett listán szereplő webhelyeken.
Nem világos, hogy a Microsoft miért adta hozzá a fehérlistát; Lehetséges, hogy így tett a kiválasztott webhelyek kompatibilitásának javítása érdekében. Noha ez értelmezhető lenne olyan nagy webhelyeknél, mint például a Flashbook, amely továbbra is tárolja a Flash tartalmat, nem világos, hogy mely paramétereket használta a Microsoft a lista létrehozására.
A listában szerepelnek olyan arcade oldalak, amelyek Flash-játékot üzemeltetnek, de nem sorolja fel az ugyanolyan népszerű arcade-oldalakat, amelyek Flash-játékokat is tartalmaznak. Rejtélyes, hogy egyes webhelyek szerepelnek a listán, míg mások nem. Lehetséges, hogy néhány webhelyet hozzáadtak
Felvetettük a kapcsolatot a Microsoftgal véleményezésre, de még nem hallottunk róla. Ha további információk merülnek fel, frissítjük a cikket.
Záró szavak
Rejtélyes, hogy a Microsoft hozzáad egy Flash engedélyezési listát Edge böngészőjéhez, figyelembe véve, hogy a Microsoft soha nem akarja kiemelni az Edge biztonsági funkcióit. Biztonsági szempontból rendkívül problematikus a Flash-tartalom felhasználói engedély nélküli futtatása.
Az irányítás elvonása és a felhasználók számára a tény meg nem adása nemcsak biztonsági szempontból, hanem a bizalom szempontjából is rendkívül problematikus.
Most Ön : Mi a véleményed erről?
