Microsoft Edge tīmekļa pārlūka lietotājiem ir slepens Flash baltais saraksts, kas ļauj Flash saturam darboties bez klikšķa, lai atskaņotu aizsardzību iekļautajās vietnēs.
Microsoft Edge, Microsoft Windows 10 operētājsistēmas noklusējuma pārlūks, atbalsta Adobe Flash sākotnēji. Flash ir iestatīts noklikšķināt, lai atskaņotu pārlūkā, un lietotāji var pilnībā atspējot Flash pārlūka iestatījumos.
Microsoft regulāri izlaiž Flash atjauninājumus uzņēmuma ikmēneša ielāpu dienā, lai labotu Flash atklātās drošības problēmas.
Nesen atklājās, ka Microsoft ieviesa Flash balto sarakstu, kas ļāva Flash saturam darboties 58 dažādos domēnos bez lietotāja mijiedarbības. Vietnes šajā sarakstā ietvēra Deezer, Facebook, MSN portālu, Yahoo vai QQ, bet arī ierakstus, kurus šādā sarakstā noteikti nevajadzētu gaidīt, piemēram, Spānijas frizētava.
Microsoft ierobežoja šī mēneša Patch otrdiena atjauninājuma sarakstu tikai ar diviem Facebook ierakstiem un piespieda lietot HTTPS šajās vietnēs pēc tam, kad Google inženieris 2018. gada beigās iesniedza ziņojumu par kļūdu uzņēmumā.
Microsoft šo sarakstu apmulsa, un Google inženierim nācās to uzlauzt, izmantojot zināmu un populāru domēna vārdu vārdnīcu.
Saskaņā ar ziņojumu par kļūdu Flash saturu ir atļauts ielādēt, ja tas tiek mitināts vienā no baltajā sarakstā iekļautajiem domēniem vai ja Flash elements ir lielāks par 398x298 pikseļiem.
Uzbrucēji varētu izmantot sarakstu, lai apietu klikšķi, lai pilnībā atskaņotu politikas, vai arī izmanto XSS ievainojamības dažās no iekļautajām vietnēm. Microsoft Edge ievēro Flash klikšķi, lai atskaņotu politikas visās citās vietnēs. Lietotājiem jāļauj Flash saturs izpildīt vietnē Microsoft Edge vietnēs, kas nav iekļautas baltajā sarakstā.
Nav skaidrs, kāpēc Microsoft pievienoja balto sarakstu; iespējams, ka tā izdarīja, lai uzlabotu savietojamību atsevišķās vietnēs. Lai gan tam būtu jēga lielākajās vietnēs, piemēram, Flashbook, kurās joprojām tiek mitināts Flash saturs, nav skaidrs, kādus parametrus Microsoft izmantoja saraksta izveidošanai.
Sarakstā ir dažas arkādes vietnes, kurās tiek organizētas Flash spēles, taču tajā nav uzskaitītas tikpat populāras arkādes vietnes, kurās tiek mitinātas arī Flash spēles. Mulsina tas, ka dažas vietnes ir iekļautas sarakstā, bet citas nav. Iespējams, ka tika pievienotas dažas vietnes
Mēs sazinājāmies ar Microsoft, lai komentētu, bet vēl neesam to dzirdējuši. Mēs atjaunināsim rakstu, ja parādīsies papildu informācija.
Noslēguma vārdi
Mulsina tas, ka Microsoft savam Edge pārlūkam pievienotu Flash balto sarakstu, ņemot vērā, ka Microsoft nekad neizceļ Edge drošības funkcijas. Ļaujot vietnēm palaist Flash saturu bez lietotāja atļaujas, no drošības viedokļa ir ļoti problemātiski pat populārās vietnēs.
Kontroles atņemšana un fakta neatklāšana lietotājiem ir ļoti problemātiska ne tikai no drošības viedokļa, bet arī tad, kad runa ir par uzticēšanos.
Tagad jūs : kāda ir jūsu rīcība šajā jautājumā?
