par Martin Brinkmann le 21 février 2019 dans Internet – Dernière mise à Jour: 21 février 2019 – 18 commentaires
Microsoft de Bord du navigateur web, les utilisateurs d’un secret Flash liste blanche qui permet le contenu Flash pour fonctionner sans cliquez pour jouer de protection sur les sites inclus.
Microsoft Bord, le navigateur par défaut de Microsoft Windows 10 système d’exploitation, la prise en charge d’Adobe Flash en natif. Flash est réglé sur ” cliquer pour jouer dans le navigateur, et les utilisateurs peuvent désactiver le Flash entièrement dans les paramètres du navigateur.
Microsoft publie des mises à jour de Flash régulièrement sur la société mensuelle du jour de patch pour corriger les problèmes de sécurité découverts en Flash.
Il est apparu récemment que Microsoft a mis en place un Flash de liste blanche qui a permis le contenu Flash pour fonctionner sur 58 de différents domaines, sans interaction de l’utilisateur. Sites sur cette liste inclus Deezer, Facebook, le portail MSN, Yahoo, ou QQ, mais aussi les entrées que l’on n’attendrait pas forcément sur une liste, comme un espagnol, un salon de coiffure.
Microsoft a limité la liste de ce mois-Patch Tuesday de mise à jour à tout juste deux Facebook entrées et imposé l’utilisation de HTTPS pour ces sites après un ingénieur Google a déposé un rapport de bug avec la société à la fin de 2018.
Microsoft obscurci la liste et l’ingénieur Google avait de la fissure à l’aide d’un dictionnaire de connu et populaire des noms de domaine.
Selon le rapport de bug, le contenu Flash est autorisé à charger s’il est hébergé sur un de la liste blanche des domaines ou si le Flash élément est plus grand que 398×298 pixels.
Les attaquants peuvent exploiter la liste de contourner cliquez pour jouer à des politiques entièrement ou l’utilisation de failles XSS sur certains sites inclus. Microsoft Bord respecte Flash cliquez pour jouer à des politiques sur tous les autres sites. Les utilisateurs ont besoin pour permettre l’exécution de contenu Flash dans Microsoft avantage sur les non-dans la liste blanche des sites.
Il est difficile de comprendre pourquoi Microsoft a ajouté à la liste blanche; il est possible qu’il l’ait fait pour améliorer la compatibilité sur certains sites. Alors que ce serait plus logique, sur les grands sites comme Flashbook que encore héberger du contenu Flash, il est difficile de savoir quels sont les paramètres de Microsoft utilisé pour créer la liste.
La liste des fonctionnalités de certains arcade sites qui hébergent des jeux Flash, mais ne liste pas tout aussi populaire arcade sites qui hébergent également des jeux Flash. Il est déroutant de constater que certains sites sont sur la liste, tandis que d’autres ne le sont pas. Il est possible que certains sites ont été ajoutés
Nous avons contacté Microsoft pour commenter, mais n’ont pas entendu parler encore. Nous mettrons à jour l’article si des informations supplémentaires vient à la lumière.
Le Mot De La Fin
Il est déroutant de constater que Microsoft serait d’ajouter un Flash blanche à son Bord navigateur considérant que Microsoft ne manque jamais de mettre en évidence Bord de caractéristiques de sécurité. D’autoriser des sites Flash contenu sans autorisation de l’utilisateur est très problématique d’un point de vue sécurité, même sur des sites populaires.
La prise de distance de contrôle et de ne pas divulguer le fait pour les utilisateurs est très problématique, non seulement d’un point de vue sécurité, mais aussi quand il s’agit de la confiance.
Maintenant, Vous: Quelle est votre opinion à ce sujet?