Microsoft ‘ s Edge webbläsare innehåller en hemlig vitlista som gör att Facebook köra Adobe Flash koden bakom användare ryggar.
Godkänd-listan kan Facebook Flash-innehåll för att kringgå Kant säkerhet funktioner som klicka-och-spel-policy, som normalt hindrar webbplatser från att köra Flash-koden utan användarens godkännande i förväg.
Före februari 2019, den hemliga Flash vitlista innehöll 58 poster, inklusive domäner och underdomäner för Microsofts viktigaste webbplats, portalen MSN, musik streaming-tjänst Deezer, Yahoo, och Kinesiska sociala nätverk QQ, bara för att nämna de största namnen på listan.
Microsoft trimmas ner listan till två Facebook-domäner tidigare denna månad efter en Google-säkerhet forskare upptäckte flera säkerhetsbrister i Kanten ‘ s secret Flash vitlista mekanism.
Ivan Fratric, Google Project Zero säkerhet forskare som funnit detta vitlista, beskrivs de säkerhetsbrister som han fann följande:
– En XSS-sårbarhet på någon av de domäner som skulle göra det möjligt att kringgå click2play policy [och köra skadlig Flash-koden på dessa domäner].
– Det finns redan *allmänt känd* och *datorer* instanser av XSS sårbarheter på åtminstone några av de godkända domäner.
– Godkänd-listan är inte begränsat till https. Även i avsaknad av en XSS-sårbarhet, detta skulle möjliggöra en MITM-angripare att kringgå click2play politik.
Kursiv texter är tillägg som gjorts av ZDNet, för tydlighetens skull.
Fratric lämnat in en felrapport med Microsoft November förra året, och Microsoft levererade en fix med denna månads Patch tisdag åtgärdas genom att begränsa listan från 58 Webbadresser till endast två domäner och verkställande av HTTPS för alla domäner som inte finns med på listan. Rapporten innehåller också den ursprungliga versionen av den vita listan, med alla de 58 domäner.
I sin nuvarande version, Edge kommer att tillåta Facebook för att utföra någon Flash-widget som har en dimension över 398×298 pixlar och är värd på https://www.facebook.com och https://apps.facebook.com domäner. Mest troligt, Facebook är på Microsoft ‘ s Edge vitlista för att stödja det sociala nätverket är stor samling av äldre Flash-spel.
För alla andra Flash widget på någon annan webbplats, Edge kommer att respektera dess standard klicka-och-spel-policy, vilket innebär att webbplatser är inte tillåtet att köra Flash utan användarens tillåtelse, vilket vanligtvis betyder att aktivera Flash utförande genom en adress ikon.
Kommentera på Twitter, Google säkerhet forskare visade sin förvåning på hur och vem som var hantera den vita listan, och hur det kom att bli.
“Så många platser som jag är helt förbryllad över varför de är där,” Fratric sagt. “Som en webbplats av en frisör i Spanien((länk: http://www.dgestilistas.es) dgestilistas.es)?! Jag undrar hur listan bildades. Och om [Microsoft Security Response Center] visste om det.”
Vi har skickat begäran om kommentar om den här frågan till både Facebook och Microsoft. Vi kommer att uppdatera om de företag som vill kommentera och ge mer insikt om detta.
Adobe och större webbläsaren beslutsfattare är satt till solnedgången Flash före utgången av 2020, medan Microsoft har planer på att byta Kant från egen EdgeHTML webbläsaren motorn till Googles Chromium.
Mer webbläsare täckning:
Google backtracks på Chrome-ändringar som skulle ha lamslagit ad-blockerare
Google Chrome 73 till officiellt stöd för multimedia tangenter på tangentbordet
Google publicerar 14 officiella Chrome themesGoogle kör en automatisk uppdatering-att-HTTPS experiment i ChromeWindows 10 Tidslinje Chrome extension har precis landat från MicrosoftGoogle arbeta på nya Chrome-säkerhet-funktionen att ” utplåna DOM-XSS’What företag behöver veta om den nya Krom-baserad Edge TechRepublicAd-blockerande Modig får minne fördel jämfört med Chrome på nyheter webbplatser CNET
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter