von Martin Brinkmann am Februar 21, 2019 in Internet – Letztes Update: Februar 21, 2019 – 13 Kommentare
Der Microsoft Edge-web-browser-Benutzer eine geheime Flash-whitelist, ermöglicht Flash-Inhalte ausgeführt werden, ohne click-to-play-Schutz auf Websites enthalten.
Microsoft Rand, der Standard-browser von Microsoft Windows 10 Betriebssystem unterstützt Adobe Flash, nativ. Blitzlicht auf click-to-play im browser und die Benutzer können deaktivieren Sie Flash komplett in den browser-Einstellungen.
Microsoft veröffentlicht Flash-updates werden regelmäßig auf der Unternehmens-monatliche patch-Tag zu beheben Sicherheitslücken in Flash.
Es kam ans Licht, vor kurzem, dass Microsoft implementiert eine Flash-whitelist, die erlaubt, Flash-Inhalte laufen auf 58 unterschiedliche Domänen ohne Benutzer-Interaktion. Seiten auf dieser Liste enthalten Deezer, Facebook, MSN-portal Yahoo, oder QQ, aber auch Einträge, die man nicht unbedingt erwarten, dass auf so einer Liste wie einen spanischen Friseursalon.
Microsoft beschränkt die Liste in diesem Monat ist Patch-Dienstag-update, um nur zwei Facebook-Einträge und durchgesetzt werden, die Verwendung von HTTPS für den Inhalt dieser Internetseiten nach einer Google-Ingenieur, eingereicht einen bug-report, mit dem das Unternehmen Ende 2018.
Microsoft verschleiert die Liste und die Google-Techniker, um es zu knacken mit einem Wörterbuch der bekannte und beliebte domain-Namen.
Nach den bug-report, Flash-Inhalte laden darf, wenn es gehostet wird, auf eine der domains auf der Whitelist ist oder wenn die Blitz-element, die größer ist als 398×298 Pixel.
Angreifer könnte diese Liste zu umgehen, klicken Sie auf zu spielen-Richtlinien vollständig oder verwenden XSS-Schwachstellen auf einige der Websites enthalten. Microsoft Edge-Respekt Flash klicken um zu spielen Richtlinien auf allen anderen Seiten. Benutzer müssen, um die Ausführung von Flash-Inhalten in Microsoft Edge-on non-whitelisted-Websites.
Es ist unklar, warum Microsoft hat die whitelist; es ist möglich, dass es sich so um die Kompatibilität auf den Websites auswählen. Während das Sinn machen würde, auf wichtigen Seiten wie Flashbook, noch host, Flash-Inhalte, ist es unklar, welche Parameter Microsoft verwendet zum erstellen der Liste.
Die Liste bietet einige arcade-Websites, host, Flash-Spiele, aber nicht die Liste gleichermaßen beliebten arcade-Websites, die auch host, Flash-Spiele. Es ist verwirrend, dass manche Seiten sind auf der Liste, während andere nicht sind. Es ist möglich, dass einige Seiten wurden Hinzugefügt
Wir kontaktierten Microsoft für einen Kommentar, aber noch nicht gehört, noch zurück. Wir werden den Artikel aktualisieren, wenn zusätzliche Informationen ans Licht kommt.
Schlusswort
Es ist verwirrend, dass Microsoft möchte hinzufügen, ein Flash-whitelist, um seine Edge-browser wenn man bedenkt, dass Microsoft nie versagt zu markieren Edge-Sicherheitsfunktionen. Erlauben Websites für die Ausführung von Flash-Inhalten, ohne die Benutzer-Berechtigung ist sehr problematisch aus der Sicht der Sicherheit auch auf beliebte Websites.
Wegnehmen Kontrolle und nicht die Offenlegung der Tatsache zu Benutzer ist höchst problematisch, nicht nur aus der Sicht der Sicherheit, sondern auch wenn es darum geht, zu Vertrauen.
Jetzt Sie: Was ist Ihr nehmen auf das?