Bing

Facebook má v Edge otvorené tajné dvere, ktoré mu umožňujú spustiť Flash bez toho, aby o tom používateľ vedel

2025
Facebook má v Edge otvorené tajné dvere, ktoré mu umožňujú spustiť Flash bez toho, aby o tom používateľ vedel

Obsah:

Anonim

Obávate sa o súkromie svojich údajov? Vydržte, pretože krivky prichádzajú. Bezpečnostný výskumník objavil chybu ovplyvňujúcu webový prehliadač spoločnosti Microsoft Edge. Počas čakania na rýchlu opravu na prechod na vykresľovací modul založený na prehliadači Chromium pretrvávajú problémy pre Edge.

Upozornenie, ako aj pri iných príležitostiach, pochádza od Google Project Zero, oddelenia zodpovedného za vyšetrovanie a zisťovanie chýb a medzier v aplikáciách a operačných systémoch. A v tomto prípade Ivan Fratric, (@ifsecure), zistil chybu v Edge, ktorá umožňuje spustenie kódu Flash bez toho, aby o tom používateľ vedel .

Bezplatná lišta pre Flash

Ak chcete získať nejaké pozadie, musíme sa vrátiť v čase na koniec roka 2018. Z Google Project Zero objavili biely zoznam(biely zoznam) v Edge. Je to zoznam, ktorý funguje rovnako ako ten, ktorý môžeme použiť na _smartfónoch_, až na to, že namiesto používania telefónnych čísel používa webové služby.

Celkovo tento zoznam poskytol našim tímom bezplatný prístup, takže až 58 webových stránok všetkých druhov mohlo spustiť kód založený na Adobe Flasha to všetko samozrejme bez toho, aby o tom dotknutá strana vedela. To bol ten problém.

"

Microsoft bol upozornený na problém, Edge bol opravený a hoci riešili koreň problému, neboli schopní odstrániť všetky hrozbyPretrvávali dve webové stránky, ktoré stále mali povolenia na spustenie Flash.A obaja boli pod vplyvom Facebooku. Toto sú dve privilegované domény:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

To znamená, že akýkoľvek widget, ktorý beží na Flash a je zahrnutý v ktorejkoľvek z týchto domén, môže porušovať bezpečnostné opatrenia spoločnosti MicrosoftOkrem toho, Fratric sám objavil nové riziko, prostredníctvom ktorého by sa dala obísť politika clicktorun, ktorou sa Edge chváli a ktorá používateľovi poskytuje kontrolu nad prístupom k počítaču. To je ten, kto môže priznať alebo poprieť vykonávanie tohto typu služieb. Dôležitá bezpečnostná diera, pretože kód Flash by mohol byť spustený buď týmito doménami alebo dokonca prostredníctvom útoku MITM (Man In The Middle)."

"

Podľa upozornenia na webovej lokalite _keď navštívite webovú lokalitu, ktorá sa pokúša načítať obsah Flash počas prehliadania pomocou Microsoft Edge počnúc aktualizáciou Windows 10 Creators Update, môžete si všimnúť, že určité aspekty webovej lokality nefunguje správne tak, ako očakávate. Toto neočakávané správanie môže byť výsledkom toho, že Flash je predvolene zablokovaný kvôli funkcii Flash Click-to-Run_. Teoreticky by to takto malo fungovať"

A Klinec to Edge

Tento fakt je obzvlášť závažný, pretože znamená, že bezpečnosť a integrita používateľských údajov je ohrozená. A mimochodom, je to v rozpore s bezpečnostnou politikou spoločnosti Edge, ktorá bojuje proti podvodnému používaniu tohto typu praktík.

"

Je to medvedia služba, ktorú takéto akcie robia Edge, navigátorovi s delikátnym zdravím, ktorý už vidí, ako Microsoft It nastavil dátum úmrtia, keď vo Windowse 10 október 2019 Aktualizácia nového Edge je realitou."

Via | ZDNet Titulný obrázok | iAmMrRob

Bing

Voľba editora

Stráca HTC záujem o Windows Phone?

Stráca HTC záujem o Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Obrázky toho, čo by mohla byť nová Nokia Lumia EOS

Obrázky toho, čo by mohla byť nová Nokia Lumia EOS

2025
Zostavte zariadenia 2013: čakajú na výrobcov

Zostavte zariadenia 2013: čakajú na výrobcov

2025
Back to top button