door Martin Brinkmann op 21 februari 2019 in Internet – Laatste Update: 21 februari 2019 – 13 reacties
Microsoft ‘ s Edge web browser gebruikers een geheim Flash whitelist die het mogelijk maakt Flash-content te voeren zonder op te spelen bescherming op plekken.
Microsoft Rand, de standaard browser van Microsoft ‘ s Windows 10 besturingssysteem, ondersteunt Adobe Flash zelf. Flitser is ingesteld op klik-om-te-spelen in de browser, en gebruikers kunnen het uitschakelen van Flash-geheel in de browser-instellingen.
Microsoft brengt Flash-updates regelmatig op de maandelijkse patch-dag op te lossen beveiligingsproblemen ontdekt in Flash.
Het kwam onlangs aan het licht dat de Microsoft-implementatie van een Flash-whitelist dat toegestaan Flash-inhoud uit te voeren op 58 verschillende domeinen zonder interactie van de gebruiker. Sites die op die lijst opgenomen Deezer, Facebook, MSN portal, Yahoo, of QQ, maar ook dat zou men niet per se te wachten op een dergelijke lijst als een spaanse kapsalon.
Microsoft beperkt de lijst op deze maandelijkse Patch Tuesday update om slechts twee Facebook-items en ten uitvoer gelegd op het gebruik van HTTPS voor deze sites na een Google-ingenieur ingediend van een bug-rapport met het bedrijf eind 2018.
Microsoft obfuscated de lijst en de Google-ingenieur had te kraken met behulp van een woordenboek van de bekende en populaire domeinnamen.
Volgens de bug report, Flash inhoud is toegestaan om te laden als het wordt gehost op een van de witte lijst domeinen of als het Flash-element groter is dan 398×298 pixels.
Aanvallers kunnen buiten de lijst te omzeilen klik om te spelen beleid geheel of gebruik XSS kwetsbaarheden op een aantal van de opgenomen sites. Microsoft Rand respecteert Flash klik om te spelen het beleid op alle andere sites. Gebruikers moeten toelaten om de uitvoering van Flash-inhoud in Microsoft Rand op niet-vertrouwde sites.
Het is onduidelijk waarom Microsoft de whitelist toegevoegd; het is mogelijk dat het dus om de compatibiliteit te verbeteren op bepaalde sites. Terwijl dat logisch zou zijn op grote websites zoals Flashbook dat nog steeds host Flash-content, is het niet duidelijk welke parameters Microsoft gebruikt om de lijst te maken.
De lijst is voorzien van een aantal arcade websites die als host van Flash-games, maar niet de lijst even populaire arcade sites die ook gastheer van Flash-games. Het is vreemd dat sommige sites op de lijst, terwijl andere dat niet zijn. Het is mogelijk dat sommige sites zijn toegevoegd
We namen contact op met Microsoft voor commentaar, maar hebben niet gehoord toch. Zullen We updaten het artikel als extra informatie aan het licht komt.
Slotwoord
Het is vreemd dat Microsoft zou het toevoegen van een Flash-whitelist aan de Rand van de browser gezien het feit dat Microsoft nooit nalaat te benadrukken van de Rand van de beveiligingsfuncties. Toestaan dat sites Flash inhoud, zonder dat de gebruiker toestemming is zeer problematisch vanuit een security oogpunt zelfs op populaire sites.
Het nemen van de controle en het niet verstrekken van het feit gebruikers is zeer problematisch, niet alleen vanuit een security oogpunt, maar ook als het gaat om vertrouwen.
Nu U: Wat is uw mening over dit?