Bing

Facebook ima v Edgeu odprta skrivna vrata, ki mu omogočajo zagon Flasha, ne da bi uporabnik vedel

2024
Facebook ima v Edgeu odprta skrivna vrata, ki mu omogočajo zagon Flasha, ne da bi uporabnik vedel

Kazalo:

Anonim

Ali vas skrbi zasebnost vaših podatkov? No počakajte, saj prihajajo krivulje. Varnostni raziskovalec je odkril napako v Microsoftovem spletnem brskalniku Edge. Med čakanjem na hitri popravek za prehod na mehanizem upodabljanja, ki temelji na Chromiumu, ostajajo težave za Edge.

Opozorilo, kot ob drugih priložnostih, prihaja iz Google Project Zero, oddelka, zadolženega za raziskovanje in odkrivanje hroščev in vrzeli v aplikacijah in operacijskih sistemih. In v tem primeru je Ivan Fratrič, (@ifsecure), zaznal napako v Edgeu, ki omogoča izvajanje kode Flash, ne da bi uporabnik za to vedel.

Brezplačna vrstica za Flash

Da bi dobili nekaj ozadja, se moramo vrniti v preteklost do konca leta 2018. Iz Google Project Zero so odkrili beli seznam(bel seznam) v Edge. Gre za seznam, ki deluje enako kot tisti, ki ga lahko uporabljamo na _pametnih telefonih_, le da namesto telefonskih številk uporablja spletne storitve.

Ta seznam je našim ekipam skupaj omogočil brezplačen dostop, tako da je do 58 spletnih mest vseh vrst lahko izvajalo kodo, ki temelji na Adobe Flashin vse to seveda brez da bi prizadeti vedel za to. To je bil problem.

"

Microsoft je bil opozorjen na težavo, Edge je bil popravljen in čeprav so se lotili korenine težave, niso mogli odpraviti vseh groženjVztrajali so na dveh spletnih mestih, ki sta še imeli dovoljenja za zagon Flasha.In oba sta bila pod vplivom Facebooka. To sta dve privilegirani domeni:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

To pomeni, da lahko vsak pripomoček, ki deluje na Flashu in je vključen v katero koli od teh domen, krši Microsoftove varnostne ukrepePoleg tega, Fratric je sam odkril novo tveganje, prek katerega je mogoče zaobiti politiko clicktorun, s katero se ponaša Edge in ki uporabniku podeljuje nadzor nad dostopom do računalnika. To je tisti, ki lahko prizna ali zavrne izvedbo tovrstnih storitev. Pomembna varnostna luknja, saj bi kodo Flash lahko izvajale te domene ali celo prek napada MITM (Man In The Middle)."

"

Glede na obvestilo na spletnem mestu, _ko obiščete spletno mesto, ki poskuša naložiti vsebino Flash med brskanjem z Microsoft Edge, začenši s posodobitvijo Windows 10 Creators Update, boste morda opazili, da nekateri vidiki spletnega mesta ne ne deluje pravilno, kot pričakujete. To nepričakovano vedenje je lahko posledica tega, da je Flash privzeto blokiran zaradi funkcije Flash Click-to-Run_. Teoretično bi tako moralo delovati"

A Nail to Edge

To dejstvo je še posebej resno, saj pomeni ogroženost varnosti in celovitosti uporabniških podatkov. In mimogrede, to je v nasprotju z varnostnimi politikami Edge, ki se bori proti goljufivi uporabi te vrste prakse.

"

To je medvedja usluga, ki jo takšna dejanja naredijo Edgeu, navigatorju občutljivega zdravja, ki že vidi, kako je Microsoft postavil datum smrti, ko je v sistemu Windows 10 oktober 2019 posodobitev novega Edge realnost."

Via | ZDNet Naslovna slika | iAmMrRob

Bing

Izbira urednika

Ali HTC izgublja zanimanje za Windows Phone?

Ali HTC izgublja zanimanje za Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Slike tega, kar bi lahko bila nova Nokia Lumia EOS

Slike tega, kar bi lahko bila nova Nokia Lumia EOS

2024
Naprave Build 2013: čakajo na proizvajalce

Naprave Build 2013: čakajo na proizvajalce

2024
Back to top button