Microsofts Edge-nettleser bruker en hemmelig Flash-hviteliste som lar Flash-innhold kjøres uten klikk for å spille beskyttelse på inkluderte nettsteder.
Microsoft Edge, standard nettleser i Microsofts Windows 10-operativsystem, støtter Adobe Flash naturlig. Flash er satt til å klikke for å spille av i nettleseren, og brukere kan deaktivere Flash helt i nettleserens innstillinger.
Microsoft gir regelmessig ut Flash-oppdateringer på selskapets månedlige oppdateringsdag for å løse sikkerhetsproblemer som er oppdaget i Flash.
Nylig kom det fram at Microsoft implementerte en Flash-hviteliste som tillot Flash-innhold å kjøre på 58 forskjellige domener uten brukerinteraksjon. Nettsteder på den listen inkluderer Deezer, Facebook, MSN-portalen, Yahoo eller QQ, men også oppføringer som man ikke nødvendigvis ville forvente på en slik liste som en spansk frisørsalong.
Microsoft begrenset listen på denne månedens Patch Tuesday-oppdateringen til bare to Facebook-oppføringer og håndhevet bruken av HTTPS for disse nettstedene etter at en Google-ingeniør sendte en feilrapport til selskapet i slutten av 2018.
Microsoft obduserte listen og Google-ingeniøren måtte knekke den ved å bruke en ordbok med kjente og populære domenenavn.
I henhold til feilrapporten får Flash-innhold lastes hvis det er vert på et av de hviteliste domenene, eller hvis Flash-elementet er større enn 398x298 piksler.
Angripere kan utnytte listen til å omgå klikk for å spille av policyer fullstendig eller bruke XSS-sårbarheter på noen av de inkluderte nettstedene. Microsoft Edge respekterer Flash-klikk for å spille av retningslinjer på alle andre nettsteder. Brukere må tillate utførelse av Flash-innhold i Microsoft Edge på nettsteder som ikke er hvitelister.
Det er uklart hvorfor Microsoft la til hvitelisten; Det er mulig det gjorde det for å forbedre kompatibiliteten på utvalgte nettsteder. Selv om det ville være fornuftig på store nettsteder som Flashbook som fremdeles er vert for Flash-innhold, er det uklart hvilke parametere Microsoft brukte for å lage listen.
Listen inneholder noen arkadesider som er vert for Flash-spill, men viser ikke like populære arkadesider som også er vert for Flash-spill. Det er rart at noen nettsteder er på listen, mens andre ikke er det. Det er mulig at noen nettsteder ble lagt til
Vi kontaktet Microsoft for kommentar, men har ikke hørt tilbake ennå. Vi vil oppdatere artikkelen hvis tilleggsinformasjon kommer fram.
Lukkende ord
Det er rart at Microsoft vil legge til en Flash-hviteliste i Edge-nettleseren med tanke på at Microsoft aldri unnlater å fremheve Edges sikkerhetsfunksjoner. Å la nettsteder kjøre Flash-innhold uten brukertillatelse er svært problematisk fra et sikkerhetssynspunkt selv på populære nettsteder.
Å ta bort kontrollen og ikke avsløre faktum til brukerne er svært problematisk, ikke bare fra et sikkerhetssynspunkt, men også når det gjelder tillit.
Nå du : Hva tar du for dette?
