Bing

Facebook má v Edge otevřené tajné dveře, které mu umožňují spouštět Flash, aniž by o tom uživatel věděl

2025
Facebook má v Edge otevřené tajné dveře, které mu umožňují spouštět Flash, aniž by o tom uživatel věděl

Obsah:

Anonim

Bojíte se o soukromí svých dat? Vydržte, křivky se blíží. Bezpečnostní výzkumník objevil chybu ovlivňující webový prohlížeč společnosti Microsoft Edge. Při čekání na opravu hotfix, která umožní přejít na vykreslovací modul založený na Chromiu, přetrvávají problémy pro Edge.

Upozornění, stejně jako při jiných příležitostech, přichází od Google Project Zero, oddělení pověřeného vyšetřováním a odhalováním chyb a mezer v aplikacích a operačních systémech. A v tomto případě Ivan Fratric, (@ifsecure), zjistil chybu v Edge, která umožňuje spuštění kódu Flash, aniž by o tom uživatel věděl .

Bezplatná lišta pro Flash

Abychom získali nějaké pozadí, musíme se vrátit v čase na konec roku 2018. Z Google Project Zero objevili bílý seznam(bílý seznam) v Edge. Je to seznam, který funguje stejně jako ten, který můžeme používat na _smartphonech_, až na to, že místo používání telefonních čísel používá webové služby.

Celkem tento seznam poskytl našim týmům bezplatný přístup, takže až 58 webových stránek všeho druhu mohlo spouštět kód založený na Adobe Flasha to vše samozřejmě, aniž by o tom dotčená strana věděla. To byl ten problém.

"

Microsoft byl upozorněn na problém, Edge byl opraven, a přestože se vypořádali s kořenem problému, nedokázali odstranit všechny hrozbyPřetrvávaly dva weby, které stále měly oprávnění ke spouštění Flash.A oba byli pod vlivem Facebooku. Toto jsou dvě privilegované domény:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

To znamená, že jakýkoli widget, který běží na Flash a je součástí kterékoli z těchto domén, může porušovat bezpečnostní opatření společnosti MicrosoftKromě toho, Sám Fratric objevil nové riziko, jehož prostřednictvím lze obejít politiku clicktorun, kterou se Edge chlubí, a která uživateli poskytuje kontrolu nad přístupem k počítači. To je ten, kdo může připustit nebo odmítnout provádění tohoto typu služeb. Důležitá bezpečnostní díra, protože kód Flash by mohl být spuštěn buď těmito doménami, nebo dokonce prostřednictvím útoku MITM (Man In The Middle)."

"

Podle upozornění na webu _když navštívíte web, který se pokouší načíst obsah Flash při procházení pomocí Microsoft Edge počínaje aktualizací Windows 10 Creators Update, můžete si všimnout, že některé aspekty webu nefungují nefunguje správně tak, jak očekáváte. Toto neočekávané chování může být důsledkem toho, že je Flash ve výchozím nastavení blokován kvůli funkci Flash Click-to-Run_. Teoreticky by to tak mělo fungovat"

A Od hřebíku k hraně

Tato skutečnost je obzvláště závažná, protože znamená, že bezpečnost a integrita uživatelských dat je ohrožena. A mimochodem, je to v rozporu s bezpečnostními zásadami společnosti Edge, která bojuje proti podvodnému používání tohoto typu praktik.

"

Je to medvědí služba, kterou podobné akce prokazují Edge, navigátorovi s křehkým zdravím, který už vidí, jak Microsoft It nastavil datum úmrtí, když ve Windows 10 říjen 2019 Aktualizace nového Edge je realitou."

Via | ZDNet Titulní obrázek | iAmMrRob

Bing

Výběr redakce

Ztrácí HTC zájem o Windows Phone?

Ztrácí HTC zájem o Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Obrázky toho, co by mohla být nová Nokia Lumia EOS

Obrázky toho, co by mohla být nová Nokia Lumia EOS

2025
Zařízení sestavení 2013: čeká na výrobce

Zařízení sestavení 2013: čeká na výrobce

2025
Back to top button