Bing

Facebook ma tajne drzwi otwarte w Edge, które umożliwiają uruchamianie Flasha bez wiedzy użytkownika

2025
Facebook ma tajne drzwi otwarte w Edge, które umożliwiają uruchamianie Flasha bez wiedzy użytkownika

Spisu treści:

Anonim

Martwisz się o prywatność swoich danych? Poczekaj, bo nadchodzą zakręty. Badacz bezpieczeństwa wykrył lukę w przeglądarce internetowej Microsoftu, Edge. Podczas oczekiwania na poprawkę umożliwiającą przejście do silnika renderującego opartego na Chromium nadal występują problemy z Edge.

Alert, podobnie jak w innych przypadkach, pochodzi z Google Project Zero, działu odpowiedzialnego za badanie i wykrywanie błędów i luk w aplikacjach i systemach operacyjnych. I w tym przypadku Ivan Fratric, (@ifsecure), wykrył błąd w Edge, który pozwala na wykonanie kodu Flash bez wiedzy użytkownika.

Wolny pasek dla Flasha

Aby uzyskać trochę informacji, musimy cofnąć się w czasie do końca 2018 roku. Z Google Project Zero odkryli białą listę(biała lista) w Edge. Jest to lista, która działa tak samo, jak ta, z której możemy korzystać na _smartfonach_, z tą różnicą, że zamiast numerów telefonów korzysta z usług internetowych.

W sumie ta lista dała naszym zespołom bezpłatny dostęp, dzięki czemu maksymalnie 58 witryn wszelkiego rodzaju mogło uruchamiać kod oparty na Adobe Flasha wszystko to oczywiście bez wiedzy zainteresowanej strony. Na tym polegał problem.

"

Microsoft został poinformowany o problemie, Edge został załatany i chociaż zajął się źródłem problemu, nie był w stanie wyeliminować wszystkich zagrożeńUtrwalili dwie strony internetowe, które nadal miały uprawnienia do uruchamiania Flasha.I obaj byli pod wpływem Facebooka. Oto dwie domeny uprzywilejowane:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

Oznacza to, że każdy widżet działający w technologii Flash i znajdujący się w którejkolwiek z tych domen może naruszać środki bezpieczeństwa firmy MicrosoftPonadto, Fratric sam odkrył nowe ryzyko, dzięki któremu można obejść politykę clicktorun, którą chwali się Edge, i która daje użytkownikowi kontrolę nad dostępem do komputera. To ten, który może dopuścić lub odmówić wykonania tego typu usług. Ważna luka w zabezpieczeniach, ponieważ kod Flash może zostać wykonany albo przez te domeny, albo nawet poprzez atak MITM (Man In The Middle)."

"

Zgodnie z uwagą w witrynie _gdy odwiedzasz witrynę, która próbuje załadować zawartość Flash podczas przeglądania w przeglądarce Microsoft Edge, począwszy od aktualizacji Windows 10 Creators Update, możesz zauważyć, że niektóre aspekty witryny nie działają t działają prawidłowo, tak jak tego oczekujesz. To nieoczekiwane zachowanie może wynikać z domyślnego blokowania Flasha z powodu funkcji Flash Szybka instalacja_. Teoretycznie tak to powinno działać"

Gwóźdź do krawędzi

Ten fakt jest szczególnie poważny, ponieważ oznacza, że ​​bezpieczeństwo i integralność danych użytkownika jest zagrożone. A tak przy okazji, jest to sprzeczne z polityką bezpieczeństwa Edge, która walczy z nieuczciwym wykorzystaniem tego typu praktyk.

"

To niedźwiedzia przysługa, jaką takie działania wyrządzają Edge, nawigatorowi o delikatnym zdrowiu, który już widzi, jak Microsoft ustanowił data śmierci w systemie Windows 10 Październik 2019 Aktualizacja nowego Edge&39;a jest rzeczywistością."

Przez | Zdjęcie okładki ZDNet | iAmMrRob

Bing

Wybór redaktorów

Czy HTC traci zainteresowanie Windows Phone?

Czy HTC traci zainteresowanie Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

2025
Urządzenia z 2013 r.: czekają na producentów

Urządzenia z 2013 r.: czekają na producentów

2025
Back to top button