Microsoft ‘s Edge browser indeholder en hemmelighed whitelist, der lader Facebook køre Adobe Flash koden bag brugere’ støtter.
Positivlisten giver Facebook Flash-indhold at omgå Kant sikkerhed funktioner som klik-for-at-spille-politik, der normalt forhindrer hjemmesider i at køre Flash-kode uden brugerens godkendelse på forhånd.
Forud for februar 2019, den hemmelige Flash whitelist, der er indeholdt 58 poster, herunder domæner og underdomæner til Microsoft ‘ s vigtigste websted, MSN-portal, musik streaming service, Deezer, Yahoo, og de Kinesiske sociale netværk QQ, bare for at nævne de største navne på den liste.
Microsoft trimmet ned ad listen til to Facebook domæner tidligere i denne måned, efter en Google sikkerheds-forsker har opdaget flere sikkerhedshuller i Kant ‘ s secret Flash whitelist mekanisme.
Ivan Fratric, Google Project Zero sikkerhed forsker, der fandt denne whitelist, der er beskrevet sikkerhedshuller, han fandt som følger:
– En XSS sårbarhed på alle de domæner, som ville gøre det muligt at omgå click2play politik [og kører skadelig Flash-kode på disse områder].
– Der er allerede *offentligt kendt* * * * * opdateret* forekomster af XSS sårbarheder på i det mindste nogle af de whitelisten domæner.
– Positivlisten er ikke begrænset til https. Selv i mangel af en XSS sårbarhed, dette vil give mulighed for en MITM angriber til at omgå click2play politik.
Italic tekster er tilføjelser fra ZDNet, for at skabe klarhed.
Fratric indgivet en fejlrapport med Microsoft i November sidste år, og Microsoft har leveret en rettelse med denne måneds Patch Tuesday løses ved at begrænse listen fra 58 Webadresser til kun to domæner og håndhævelse af HTTPS for alle domæner som er opført på listen. Fejlrapporten indeholder også den originale version af whitelist, med alle de 58 domæner.
I sin nuværende version, Kant vil tillade Facebook til at udføre en Flash widget, der har en dimension af over 398×298 pixels og er vært på den https://www.facebook.com og https://apps.facebook.com domæner. Mest sandsynligt, at Facebook er på Microsoft ‘ s Edge whitelisten for at støtte det sociale netværk er stor samling af ældre Flash spil.
For nogen anden Flash-widget ‘ en på en anden hjemmeside, Kant vil respektere dens standard, klik-for-at-spille-politik, hvilket betyder, hjemmesider er ikke tilladt at udføre Flash uden brugerens tilladelse, som normalt betyder, at aktivering af Flash udførelsen gennem en adresse bar ikon.
I en kommentar på Twitter, Google sikkerhedsekspert viste sin overraskelse på hvordan og hvem der var forvaltningen af positivlisten, og hvordan det kom til at være.
“Så mange steder, som jeg er helt forbløffet, hvorfor de er der,” Fratric sagde. “Som en lokalitet af en frisør i Spanien((link: http://www.dgestilistas.es) dgestilistas.es)?! Jeg spekulerer på, hvor listen blev dannet. Og hvis [Microsoft Security Response Center] vidste om det.”
Vi har sendt anmodninger om en kommentar på dette spørgsmål, at både Facebook og Microsoft. Vi vil opdatere, hvis virksomheder ønsker at kommentere og give mere indsigt i sagen.
Adobe og store browser-producenter er indstillet til solnedgang Flash ved udgangen af 2020, mens Microsoft har annonceret planer om at skifte Kant fra sin proprietære EdgeHTML browseren motor til Googles Chromium.
Mere browser dækning:
Google backtracks på Chrome ændringer, der ville have lammet ad-blokkere,
Google Chrome 73 officielt understøtter mms-tasterne på dit tastatur
Google udgiver 14 officielle Chrome themesGoogle er at køre en auto-opdatering-til-HTTPS eksperiment i ChromeWindows 10 Tidslinje udvidelse i Chrome, har netop landet fra MicrosoftGoogle arbejder på nye Chrome sikkerhed funktion at ‘udslette DOM XSS’What virksomheder har brug for at vide om den nye Chrom-baseret Kant TechRepublicAd-blokering Modige får hukommelse fordel i forhold til Chrome på nyheder hjemmesider CNET
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre