da Martin Brinkmann su febbraio 21, 2019 in Internet – Ultimo Aggiornamento: 21 febbraio, 2019 – 18 commenti
Microsoft con a Bordo gli utenti di browser web di un segreto, Flash white list che consente l’esecuzione di contenuto senza fare clic per giocare protezione su siti inclusi.
Microsoft Bordo, l’impostazione predefinita del browser di Microsoft per Windows 10 sistema operativo, supporta Adobe Flash nativamente. Il Flash è impostato su click-to-play nel browser, e gli utenti possono disabilitare Flash interamente nelle impostazioni del browser.
Microsoft rilascia aggiornamenti di Flash regolarmente sulla società mensile il giorno di patch per risolvere i problemi di sicurezza scoperti in Flash.
E ‘ venuto alla luce di recente che Microsoft ha implementato un Flash whitelist che ha permesso il contenuto Flash per eseguire in 58 diversi domini senza l’interazione dell’utente. Siti che elenco di Deezer, Facebook, il portale MSN, Yahoo, o QQ, ma anche le voci che non necessariamente aspettare su una lista come la spagnola parrucchiere.
Microsoft ha limitato la lista in questo mese il martedì delle Patch di aggiornamento di Facebook non valide e imposto l’uso di HTTPS per questi siti dopo un ingegnere Google ha segnalato un bug report con la società a fine 2018.
Microsoft offuscato l’elenco e l’ingegnere Google dovuto rompere usando un dizionario di noto e popolare di nomi di dominio.
Secondo il report di bug, il contenuto Flash è permesso di caricare, se è ospitato su uno dei domini inseriti nella white list o se il Flash elemento è maggiore di 398×298 pixel.
I malintenzionati potrebbero sfruttare l’elenco di bypass fare clic per riprodurre le politiche in tutto o in uso vulnerabilità XSS su alcuni dei siti inclusi. Microsoft Bordo rispetta Flash clicca per giocare le politiche su tutti gli altri siti. Gli utenti hanno bisogno per consentire l’esecuzione di contenuto Flash in Microsoft Bordo non inclusi nella white list di siti.
Non è chiaro il motivo per cui Microsoft ha aggiunto alla whitelist; è possibile che lo ha fatto per migliorare la compatibilità su determinati siti. Mentre questo avrebbe senso sui principali siti come Flashbook che ospitano contenuti in Flash, non è chiaro quali sono i parametri che Microsoft ha utilizzato per creare l’elenco.
L’elenco comprende alcuni arcade siti che ospitano i giochi in Flash, ma non è in elenco, altrettanto popolare arcade siti che ospitano anche giochi in Flash. È sconcertante che alcuni siti sono in lista, mentre altri non lo sono. È possibile che alcuni siti sono stati aggiunti
Abbiamo contattato Microsoft per il commento, ma non hanno ancora ricevuto risposta. Provvederemo ad aggiornare l’articolo se le informazioni aggiuntive, viene alla luce.
Parole Di Chiusura
È sconcertante che Microsoft dovrebbe aggiungere un Flash whitelist al Bordo del browser considerando che Microsoft non ha mai mancato di evidenziare il Bordo di caratteristiche di sicurezza. Che consente ai siti di eseguire il Flash del contenuto senza l’autorizzazione dell’utente è altamente problematico dal punto di vista della sicurezza, anche su siti popolari.
Prendere il controllo e di non divulgare il fatto, per gli utenti è molto problematica, non solo dal punto di vista della sicurezza, ma anche quando si tratta di fiducia.
Ora: Qual è la tua opinione su questo?