Користувачі веб-браузера Microsoft Edge користуються секретним списком Flash, який дозволяє запускати Flash-вміст без клацання та відтворювати захист на включених сайтах.
Microsoft Edge, браузер за замовчуванням в операційній системі Windows 10 Microsoft, підтримує Adobe Flash автоматично. Flash налаштовано для відтворення в браузері, і користувачі можуть повністю відключити Flash у налаштуваннях браузера.
Майкрософт регулярно випускає оновлення Flash у щомісячний патч компанії, щоб виправити проблеми із безпекою, виявлені у Flash.
Нещодавно з'ясувалося, що Microsoft впровадила білий список Flash, який дозволив Flash вмісту працювати в 58 різних доменах без взаємодії з користувачем. Сайти в цьому списку включали Deezer, Facebook, портал MSN, Yahoo або QQ, але також записи, які не обов'язково очікувати у такому списку, як іспанський перукарня.
Microsoft обмежила перелік цього місяця оновлення Patch Tuesday лише двома записами у Facebook та застосувала використання HTTPS для цих сайтів після того, як інженер Google подав звіт про помилку в компанію наприкінці 2018 року.
Microsoft переплутала список, і інженеру Google довелося розламати його за допомогою словника відомих і популярних доменних імен.
Відповідно до звіту про помилку, вміст Flash дозволено завантажувати, якщо він розміщений на одному з дозволених доменів або якщо елемент Flash перевищує 398x298 пікселів.
Зловмисники можуть скористатися списком, щоб обійти кліки, щоб повністю відтворити правила, або використовувати вразливості XSS на деяких із включених сайтів. Microsoft Edge поважає Flash click для відтворення політики на всіх інших сайтах. Користувачі повинні дозволити виконання Flash-вмісту в Microsoft Edge на сайтах, що не містять білого списку.
Незрозуміло, чому Microsoft додав білий список; можливо, що це зробило так, щоб поліпшити сумісність на вибраних сайтах. Хоча це мало б сенс на великих сайтах, таких як Flashbook, які все ще розміщують Flash-вміст, незрозуміло, які параметри Microsoft використовувала для створення списку.
У списку представлені деякі аркадні сайти, на яких розміщуються Flash-ігри, але не вказано однаково популярних аркадних сайтів, на яких розміщуються Flash-ігри. Дивовижно, що деякі сайти є у списку, а інші - ні. Можливо, деякі сайти були додані
Ми звернулися до Microsoft за коментарем, але ще не почули. Ми оновлюємо статтю, якщо з’явиться додаткова інформація.
Заключні слова
Дивовижно, що Microsoft додасть у свій браузер Edge список білого списку, враховуючи, що Microsoft ніколи не відмічає функції безпеки Edge. Дозволити сайтам запускати Flash-вміст без дозволу користувача вкрай проблематично з точки зору безпеки навіть на популярних сайтах.
Взяти на себе контроль і не розголосити цей факт користувачам вкрай проблематично не тільки з точки зору безпеки, але і, якщо мова йде про довіру.
Тепер ви : Що ви ставитесь до цього?
