Bing

Facebook har en hemmelig dør åben i Edge, der gør det muligt at køre Flash uden at brugeren ved det

2025
Facebook har en hemmelig dør åben i Edge, der gør det muligt at køre Flash uden at brugeren ved det

Indholdsfortegnelse:

Anonim

Er du bekymret for privatlivets fred for dine data? Hold nu fast, der kommer kurver. En sikkerhedsforsker har opdaget en fejl, der påvirker Microsofts webbrowser, Edge. Mens man venter på et hotfix for at springe til den Chromium-baserede gengivelsesmotor, er der stadig problemer for Edge.

Advarslen kommer som ved andre lejligheder fra Google Project Zero, en afdeling med ansvar for at undersøge og opdage fejl og huller i applikationer og operativsystemer. Og i dette tilfælde har Ivan Fratric, (@ifsecure), opdaget en fejl i Edge, der tillader Flash-kode at blive eksekveret uden at brugeren ved om det.

Gratis bjælke til Flash

For at få lidt baggrund er vi nødt til at rejse tilbage i tiden til slutningen af ​​2018. Fra Google Project Zero opdagede de en hvidliste(hvid liste) i Edge. Det er en liste, der fungerer på samme måde som den, vi kan bruge på _smartphones_, bortset fra at den i stedet for at bruge telefonnumre bruger webtjenester.

I alt gav denne liste vores teams gratis adgang, så op til 58 websteder af enhver art kunne køre kode baseret på Adobe Flashog alt dette naturligvis uden at den berørte part har kendskab til det. Det var problemet.

"

Microsoft blev gjort opmærksom på problemet, Edge blev rettet, og selvom de tacklede roden til problemet, var de ikke i stand til at eliminere alle truslerneDe fortsatte med to websteder, der stadig havde tilladelser til at køre Flash.Og de var begge påvirket af Facebook. Dette er de to privilegerede domæner:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

Dette betyder, at enhver widget, der kører på Flash og er inkluderet i et af disse domæner, kan overtræde Microsofts sikkerhedsforanst altningerDerudover, Fratric opdagede selv en ny risiko, hvorigennem den clicktorun-politik, som Edge kan prale af, kunne omgås, og som giver brugeren kontrol over adgangen til computeren. Dette er den, der kan indrømme eller nægte udførelsen af ​​denne type tjenester. Et vigtigt sikkerhedshul, da Flash-kode kunne udføres enten af ​​disse domæner eller endda gennem et MITM (Man In The Middle) angreb."

"

Ifølge meddelelsen på webstedet, _når du besøger et websted, der forsøger at indlæse Flash-indhold, mens du surfer med Microsoft Edge startende med Windows 10 Creators Update, bemærker du muligvis, at visse aspekter af webstedet ikke ikke fungerer korrekt, som du forventer. Denne uventede adfærd kan være et resultat af, at Flash er blokeret som standard på grund af funktionen Flash Click-to-Run_. I teorien burde det være sådan det fungerer"

A Nail to Edge

Dette faktum er særligt alvorligt, da det betyder, at sikkerheden og integriteten af ​​brugerdata er i fare. Og i øvrigt er det i modstrid med Edges sikkerhedspolitikker, som bekæmper svigagtig brug af denne type praksis.

"

Det er en bjørnetjeneste, som handlinger som denne gør mod Edge, en navigator i delikat helbred, der allerede ser, hvordan Microsoft har sat en dødsdato, når i Windows 10 oktober 2019 Opdater den nye Edge er en realitet."

Via | ZDNet Forsidebillede | iAmMrRob

Bing

Valg af editor

Er HTC ved at miste interessen for Windows Phone?

Er HTC ved at miste interessen for Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Billeder af, hvad der kunne være den nye Nokia Lumia EOS

Billeder af, hvad der kunne være den nye Nokia Lumia EOS

2025
Byg 2013-enheder: venter på producenter

Byg 2013-enheder: venter på producenter

2025
Back to top button