av Martin Brinkmann på februar 21, 2019 i Uncategorized – Ingen kommentarer
Microsoft ‘ s Edge nettleser brukere en hemmelig Flash hviteliste som gjør at Flash-innhold for å kjøre uten klikk for å spille av beskyttelse på inkluderte nettsteder.
Microsoft Kanten, standard nettleser av Microsoft ‘ s Windows-10-operativsystemet, støtter Adobe Flash problemfritt. Blitsen er satt til klikk-for-å-spille i nettleseren, og brukere kan deaktivere Flash-helt i nettleserens innstillinger.
Microsoft lanserer Flash oppdateringer med jevne mellomrom på selskapets månedlige oppdateringen dag for å løse sikkerhetsproblemer som er oppdaget i Flash.
Det kom til lys nylig at Microsoft har implementert en Flash-hviteliste som tillatt Flash-innhold for å kjøre på 58 ulike domener uten brukermedvirkning. Nettstedene på listen omfattet Deezer, Facebook, MSN portal, Yahoo, eller QQ, men også bidrag som ville man ikke nødvendigvis kan forvente på en slik liste som en spansk frisørsalong.
Microsoft begrenset listen på denne månedens Oppdatering tirsdag oppdatering til bare to Facebook oppføringer og tvungen bruk av HTTPS for disse nettsteder etter Google-ingeniør innlevert en feilrapport med selskapet i slutten av 2018.
Microsoft forvirrende listen og Google-ingeniør hadde å knekke den bruker en samling av kjente og populære domenenavn.
I henhold til rapporten, Flash innhold er tillatt å laste hvis det er lagret på en av godkjenningslisten domener eller hvis Flash element er større enn 398×298 punkter.
Angripere kan utnytte listen for å omgå klikk for å spille retningslinjer helt eller bruk XSS sårbarheter på noen av de inkluderte nettsteder. Microsoft Kanten respekterer Flash klikk for å spille av politikk på alle andre områder. Brukere må tillate kjøring av Flash innhold i Microsoft Kanten på ikke-hvitelistet nettsteder.
Det er uklart hvorfor Microsoft har lagt til i hvitelisten, det er mulig at det gjorde det for å forbedre kompatibilitet på utvalgte områder. Mens det ville være fornuftig på store nettsteder som Flashbook som fortsatt være vert for Flash-innhold, det er uklart hvilke parametere Microsoft som brukes til å opprette listen.
Listen har noen arcade nettsteder som er vert for Flash spill, men viser ikke like populære arcade nettsteder som også vert Flash-spill. Det er rart at noen områder er på listen, mens andre ikke er det. Det er mulig at noen steder ble lagt
Vi tok kontakt med Microsoft for kommentar, men har ikke hørt tilbake ennå. Vi vil oppdatere artikkelen om ytterligere informasjon kommer til å lyse.
Avsluttende Ord
Det er rart at Microsoft vil legge til et Flash hviteliste til sin Kant nettleser med tanke på at Microsoft aldri unnlater å markere Kanten sikkerhet funksjoner. Gi nettsteder tillatelse til å kjøre Flash-innhold uten brukerens tillatelse er svært problematisk fra et sikkerhetsmessig synspunkt selv på populære nettsteder.
Å ta bort kontroll og ikke avsløre faktum til brukerne er svært problematisk, ikke bare fra et sikkerhetsmessig synspunkt, men også når det kommer til å stole på.
Nå er Du: Hva er din ta på seg dette?