Microsoft ‘ s Edge browser bevat een geheim witte lijst waarmee Facebook Adobe Flash code gebruikers achter de rug.
De whitelist kunt Facebook Flash inhoud te omzeilen Rand security features zoals de click-to-play-beleid dat normaal voorkomt u dat websites waarop Flash code zonder de gebruiker vooraf goedkeuring.
Vóór februari 2019, het geheim van de Flits de witte lijst bevatte 58 items, waaronder de domeinen en subdomeinen van Microsoft ‘ s belangrijkste site, de MSN-portal, muziek streamingdienst Deezer, Yahoo, en de Chinese sociale netwerk QQ, gewoon om de naam van de grootste namen op de lijst.
Microsoft bijgesneden naar beneden in de lijst om twee Facebook domeinen eerder deze maand na een Google-onderzoeker ontdekt een aantal beveiligingslekken in de Rand van de geheime Flash whitelist mechanisme.
Ivan Fratric, het Google-Project Zero security-onderzoeker die vond het deze witte lijst, beschreven de veiligheidsproblemen vond hij als volgt:
– Een XSS-kwetsbaarheid op elk van de domeinen zou laten voorbijgaan click2play beleid [en het uitvoeren van kwaadaardige Flash-code op deze domeinen].
– Er zijn al *bekend* en *niet-gepatchte* exemplaren van XSS kwetsbaarheden aan ten minste enkele van de vertrouwde domeinen.
– De witte lijst is niet beperkt naar https. Zelfs in de afwezigheid van een XSS-kwetsbaarheid, dit zou een MITM aanvaller te omzeilen de click2play beleid.
Cursieve teksten zijn toevoegingen gemaakt door ZDNet, voor de duidelijkheid.
Fratric ingediend van een bug-rapport met Microsoft afgelopen November, en Microsoft leverde een fix met deze maand een Patch dinsdag correcties door de beperking van de lijst van 58 Url ‘ s om slechts twee domeinen en de handhaving van HTTPS voor alle domeinen die zijn opgenomen op de lijst. De bug rapport bevat ook de originele versie van de witte lijst, met alle 58 domeinen.
In zijn huidige versie, Edge zal toestaan dat Facebook de uitvoering van een Flash widget die heeft een afmeting van meer dan 398×298 pixels en wordt gehost op de https://www.facebook.com en https://apps.facebook.com domeinen. Het meest waarschijnlijk, Facebook is op Microsoft ‘ s Edge op de witte lijst ter ondersteuning van het sociale netwerk van de grote collectie van de verouderde Flash-games.
Voor alle andere Flash widget op een andere website, Edge zal zich houden aan de standaard van de click-to-play-beleid, wat betekent dat websites zijn niet toegestaan voor het uitvoeren van Flash-zonder dat de gebruiker de toestemming, die meestal betekent het inschakelen van Flash uitvoering via een adres-balk pictogrammen.
Commentaar op Twitter, Google security-onderzoeker toonde zich verrast over hoe en aan wie het beheer van de witte lijst, en hoe het kwam te zijn.
“Zo veel sites die ik ben helemaal verbijsterd over waarom ze er zijn,” Fratric zei. “Als een site van een kapsalon in Spanje (link: http://www.dgestilistas.es) dgestilistas.es)?! Ik vraag me af hoe de lijst werd gevormd. En als [de Microsoft Security Research Center] over het wisten.”
Die We je hebben gestuurd verzoeken voor commentaar op deze kwestie zowel Facebook en Microsoft. We werken als de bedrijven willen mening te geven over en meer inzicht in de materie.
Adobe en de grote bouwers van browsers zijn ingesteld om de zonsondergang Flash tegen het einde van 2020, terwijl Microsoft heeft plannen aangekondigd om over te schakelen van de Rand van haar eigen EdgeHTML browser-engine van Google Chroom.
Meer browser dekking:
Google gaat op Chrome wijzigingen die zou hebben verminkt, ad blockers
Google Chrome 73 officieel ondersteuning van de multimedia-toetsen op uw toetsenbord
Google publiceert 14 officiële Chrome themesGoogle met een auto-update-naar-HTTPS experiment in ChromeWindows 10 Tijdlijn Chrome-extensie is net geland vanuit MicrosoftGoogle werken aan nieuwe Chrome security functie te ‘vernietigen DOM XSS Wat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters