O tajném seznamu povolených pro Microsoft Edge

Uživatelé webového prohlížeče společnosti Microsoft Edge tajný seznam povolených adresářů Flash, který umožňuje spuštění obsahu Flash bez kliknutí, přehraje ochranu na zahrnutých webech.

Microsoft Edge, výchozí prohlížeč operačního systému Microsoft Windows 10, nativně podporuje Adobe Flash. Flash je v prohlížeči nastaven tak, aby umožňoval klikání a uživatelé mohou Flash zcela deaktivovat v nastavení prohlížeče.

Společnost Microsoft pravidelně vydává aktualizace Flash v měsíční den opravy společnosti, aby vyřešila bezpečnostní problémy objevené ve Flashi.

Nedávno vyšlo najevo, že společnost Microsoft implementovala seznam povolených adresářů Flash, který umožnil běh obsahu Flash na 58 různých doménách bez zásahu uživatele. Stránky na tomto seznamu zahrnovaly Deezer, Facebook, portál MSN, Yahoo nebo QQ, ale také položky, které by člověk na takovém seznamu nemusel očekávat, jako je španělský kadeřnictví.

Společnost Microsoft omezila seznam na aktualizaci tohoto úterý v úterý na pouhé dva záznamy na Facebooku a vynutila používání HTTPS pro tyto weby poté, co technik Google podal na konci roku 2018 zprávu o chybě společnosti.

Microsoft tento seznam zmatil a technik Google jej musel prolomit pomocí slovníku známých a populárních doménových jmen.

Podle hlášení o chybě je povoleno načítání obsahu Flash, pokud je hostováno v jedné z povolených domén nebo pokud je prvek Flash větší než 398 x 298 pixelů.

Útočníci by mohli seznam využít k obcházení zásad pro přehrávání kliknutím nebo k použití zranitelných míst XSS na některých zahrnutých webech. Microsoft Edge respektuje zásady Flash Click to play na všech ostatních webech. Uživatelé musí povolit provádění obsahu Flash v aplikaci Microsoft Edge na jiných serverech, které nejsou na seznamu povolených.

Není jasné, proč Microsoft přidal whitelist; je možné, že tak učinil, aby zlepšil kompatibilitu na vybraných webech. Ačkoli by to mělo smysl na hlavních webech, jako je Flashbook, které stále hostují obsah Flash, není jasné, jaké parametry společnost Microsoft použila k vytvoření seznamu.

Seznam obsahuje některé arkádové weby, které hostují Flash hry, ale neuvádí stejně populární arkádové weby, které také hostují Flash hry. Je záhadné, že některé stránky jsou na seznamu, zatímco jiné ne. Je možné, že byly přidány některé weby

Kontaktovali jsme společnost Microsoft za účelem komentáře, ale zatím jsme ji neslyšeli. Pokud se objeví další informace, budeme článek aktualizovat.

Závěrečná slova

Je záhadné, že Microsoft přidal do svého prohlížeče Edge whitelist, protože Microsoft nikdy nezvýraznil bezpečnostní prvky Edge. Povolit webům spouštět obsah Flash bez povolení uživatele je z hlediska zabezpečení vysoce problematické i na oblíbených webech.

Odebrání kontroly a nesdělování skutečnosti uživatelům je velmi problematické nejen z hlediska bezpečnosti, ale také z hlediska důvěry.

Nyní vy : Jaký je váš názor na to?