A Facebooknak van egy titkos ajtaja az Edge-ben, amely lehetővé teszi a Flash futtatását a felhasználó tudta nélkül
Tartalomjegyzék:
Aggódik adatainak védelme miatt? Várjon, mert jönnek a görbék. Egy biztonsági kutató hibát fedezett fel a Microsoft webböngészőjében, az Edge-ben. Amíg a gyorsjavításra vár, hogy áttérjen a Chromium-alapú renderelőmotorra, az Edge továbbra is problémákat okoz.
A figyelmeztetés, mint más alkalmakkor is, a Google Project Zero részlegtől származik, amely az alkalmazásokban és operációs rendszerekben található hibák és hiányosságok kivizsgálásáért és észleléséért felelős. És ebben az esetben Ivan Fratric (@ifsecure) hibát észlelt az Edge-ben, amely lehetővé teszi a Flash-kód futtatását anélkül, hogy a felhasználó tudna róla.
Free Bar Flash-hez
Ahhoz, hogy némi hátteret kapjunk, vissza kell utaznunk az időben 2018 végéig. A Google Project Zero-ból egy fehérlistát fedeztek fel(fehér lista ) az Edge-ben. Ez egy olyan lista, amely ugyanúgy működik, mint az _okostelefonokon_, azzal a különbséggel, hogy a telefonszámok helyett webszolgáltatásokat használ.
Összességében ez a lista ingyenes hozzáférést biztosított csapatainknak, így akár 58, mindenféle webhelyen futhatott az Adobe Flash alapú kódés mindezt természetesen anélkül, hogy az érintett fél bármit is tudott volna róla. Ez volt a probléma.
A Microsoft figyelmét felhívták a problémára, az Edge-et kijavították, és bár megbirkóztak a probléma gyökerével, nem tudták kiküszöbölni az összes fenyegetéstMegtartottak két webhelyet, amelyeknek még volt engedélye a Flash futtatására.És mindketten a Facebook hatása alatt álltak. Ez a két kiemelt domain:"
- https://www.facebook.com
- https://apps.facebook.com
Ez azt jelenti, hogy minden Flash-en futó widget, amely ezen tartományok bármelyikében szerepel, megsértheti a Microsoft biztonsági intézkedéseitEzenkívül Maga Fratric felfedezett egy új kockázatot, amelyen keresztül az Edge által büszkélkedő clicktorun-szabályzat megkerülhető, és amely a felhasználó számára biztosítja a számítógéphez való hozzáférés szabályozását. Ez az, amelyik elismerheti vagy megtagadhatja az ilyen típusú szolgáltatások végrehajtását. Fontos biztonsági rés, mivel a Flash kódot ezek a tartományok vagy akár MITM (Man In The Middle) támadások is végrehajthatják."
A webhelyen található közlemény szerint _ha olyan webhelyet látogat meg, amely Flash-tartalmat próbál betölteni, miközben a Microsoft Edge alkalmazással böngészik a Windows 10 Creators Update-től kezdve, észreveheti, hogy a webhely bizonyos elemei nem nem működik megfelelően az elvárt módon. Ez a váratlan viselkedés annak az eredménye, hogy a Flash alapértelmezés szerint le van tiltva a Flash Click-to-Run_ funkciója miatt. Elméletileg így kellene működnie"
Szeg a szélig
Ez a tény különösen súlyos, mivel azt jelenti, hogy a felhasználói adatok biztonsága és integritása veszélyben van. És mellesleg ellentmond az Edge biztonsági szabályzatának, amely küzd az ilyen típusú gyakorlatok csalárd alkalmazása ellen.
"az ehhez hasonló műveletek rossz szolgálatot tesznek az Edge számára, egy kényes állapotú navigátornak, aki már látja, hogy a Microsoft It hogyan állított be halál dátuma, amikor a Windows 10 rendszerben 2019. október Az új Edge frissítése valósággá válik."
Via | ZDNet Borítókép | iAmMrRob
