Microsoft Bordo browser contiene un segreto white list che consente a Facebook di eseguire Adobe Flash codice dietro degli utenti effettua.
La white list permette di Facebook contenuto Flash di bypass Bordo di funzionalità di sicurezza come il click-to-play politica che normalmente impedisce di siti web in esecuzione di codice Flash senza l’approvazione dell’utente in anticipo.
Prima del febbraio 2019, il segreto Flash whitelist contenute 58 voci, compresi i domini e sottodomini da Microsoft per il sito principale, il portale MSN, il servizio di streaming musicale Deezer, Yahoo e sociale Cinese della rete QQ, solo per citare i più grandi nomi della lista.
Microsoft tagliata verso il basso l’elenco per due Facebook domini all’inizio di questo mese dopo un Google ricercatore di sicurezza ha scoperto diverse falle di sicurezza a Bordo di segreto Flash whitelist meccanismo.
Ivan Fratric, il Progetto di Google Zero ricercatore di sicurezza che ha trovato questa lista, ha descritto le falle di sicurezza che ha trovato come segue:
– Una vulnerabilità XSS su qualsiasi dominio permetterebbe di bypassare click2play politica [e l’esecuzione dannoso codice Flash su questi domini].
– Ci sono già note al pubblico* e *patch* istanze di vulnerabilità XSS su almeno alcuni dei domini inseriti nella white list.
– La whitelist non è limitato a https. Anche in assenza di una vulnerabilità XSS, questo permetterebbe un MITM utente malintenzionato di ignorare la click2play politica.
Corsivo testi sono aggiunte apportate da ZDNet, per chiarezza.
Fratric ha segnalato un bug report con Microsoft lo scorso novembre, e Microsoft ha consegnato un fix con questo mese il martedì delle Patch risolve limitando l’elenco da 58 Url per solo due domini e l’applicazione del protocollo HTTPS per tutti i domini inclusi nella lista. Il bug report contiene anche la versione originale di whitelist, con tutte le 58 domini.
Nella sua versione attuale, il Bordo permetterà a Facebook di eseguire qualsiasi Flash widget che ha una dimensione di oltre 398×298 pixel ed è ospitato su la https://www.facebook.com e https://apps.facebook.com domini. Più probabile, Facebook è di Microsoft Bordo whitelist per sostenere il social network della grande collezione di legacy giochi in Flash.
Per qualsiasi altro Flash widget su qualsiasi altro sito web, all’avanguardia rispetto predefinito click-to-play di politica, di senso, di siti web non sono autorizzati a eseguire il Flash senza l’autorizzazione degli utenti, che di solito significa attivare Flash esecuzione attraverso un indirizzo icona della barra.
Commentando su Twitter, Google ricercatore di sicurezza ha mostrato la sua sorpresa, su come e su chi era la gestione della white list, e come è venuto per essere.
“Tanti siti per i quali sono completamente sconcertato perché sono lì,” Fratric detto. “Come un sito di un parrucchiere in Spagna (link: http://www.dgestilistas.es) dgestilistas.es)?! Mi chiedo come la lista era formata. E se [il Microsoft Security Response Center] lo sapeva.”
Abbiamo inviato richieste di commento su questo problema sia Facebook e Microsoft. Provvederemo ad aggiornare, se le aziende vogliono commentare e fornire un quadro più chiaro sulla questione.
Adobe e i principali produttori di browser sono impostati al tramonto Flash entro la fine del 2020, mentre Microsoft ha annunciato l’intenzione di passare Edge dal suo proprietario EdgeHTML motore del browser di Google Chromium.
Più browser copertura:
Google ritorna su Chrome modifiche che avrebbe paralizzato annuncio bloccanti
Google Chrome 73 supporta ufficialmente i tasti multimediali della tastiera
Google pubblica il 14 ufficiale di Chrome themesGoogle esegue un auto-update-per-HTTPS esperimento in ChromeWindows 10 Timeline estensione di google Chrome è appena atterrato da MicrosoftGoogle lavoro sul nuovo Chrome funzione di protezione per ‘cancellare DOM XSS’What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati