Bing

Facebook har en hemlig dörr öppen i Edge som gör att den kan köra Flash utan att användaren vet

2025
Facebook har en hemlig dörr öppen i Edge som gör att den kan köra Flash utan att användaren vet

Innehållsförteckning:

Anonim

Är du orolig för din datas integritet? Vänta nu när kurvorna kommer. En säkerhetsforskare har upptäckt ett fel som påverkar Microsofts webbläsare, Edge. I väntan på en snabbkorrigering för att hoppa till den Chromium-baserade renderingsmotorn kvarstår problem för Edge.

Larmet kommer, liksom vid andra tillfällen, från Google Project Zero, en avdelning som ansvarar för att undersöka och upptäcka buggar och luckor i applikationer och operativsystem. Och i det här fallet har Ivan Fratric, (@ifsecure), upptäckt en bugg i Edge som tillåter att Flash-kod exekveras utan att användaren vet om det.

Free Bar for Flash

För att få lite bakgrund måste vi resa tillbaka i tiden till slutet av 2018. Från Google Project Zero upptäckte de en vit lista(vit lista ) i Edge. Det är en lista som fungerar på samma sätt som den vi kan använda på _smartphones_, förutom att den istället för att använda telefonnummer använder webbtjänster.

Tot alt gav den här listan våra team fri tillgång så att upp till 58 webbplatser av alla slag kunde köra kod baserad på Adobe Flashoch allt detta förstås utan att den drabbade har någon kännedom om det. Det var problemet.

"

Microsoft uppmärksammades på problemet, Edge korrigerades och även om de tacklade roten till problemet, kunde de inte eliminera alla hotDe behöll två webbplatser som fortfarande hade behörighet att köra Flash.Och de var båda under påverkan av Facebook. Dessa är de två privilegierade domänerna:"

  • https://www.facebook.com
  • https://apps.facebook.com
"

Detta betyder att alla widgetar som körs på Flash och som ingår i någon av dessa domäner, kan bryta mot Microsofts säkerhetsåtgärderDessutom, Fratric upptäckte själv en ny risk genom vilken clicktorun-policyn som Edge stoltserar med kunde kringgås och som ger användaren kontroll över åtkomst till datorn. Detta är den som kan erkänna eller förneka utförandet av denna typ av tjänster. Ett viktigt säkerhetshål, eftersom Flash-kod kan exekveras antingen av dessa domäner eller till och med genom en MITM-attack (Man In The Middle)."

"

Enligt meddelandet på webbplatsen, _när du besöker en webbplats som försöker ladda Flash-innehåll medan du surfar med Microsoft Edge från och med Windows 10 Creators Update, kan du märka att vissa aspekter av webbplatsen inte fungerar som du förväntar dig. Detta oväntade beteende kan vara resultatet av att Flash blockeras som standard på grund av funktionen Flash Click-to-Run_. I teorin borde det vara så det fungerar"

A Nail to Edge

Detta faktum är särskilt allvarligt, eftersom det betyder att säkerheten och integriteten för användardata är i fara. Och förresten, det strider mot Edges säkerhetspolicy, som bekämpar bedräglig användning av denna typ av metoder.

"

Det är en otjänst som sådana här handlingar gör Edge, en navigator i känslig hälsa som redan ser hur Microsoft har satt en dödsdatum när i Windows 10 oktober 2019 Uppdatera den nya Edge är en realitet."

Via | ZDNet omslagsbild | iAmMrRob

Bing

Redaktörens val

Tappar HTC intresset för Windows Phone?

Tappar HTC intresset för Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Bilder på vad som kan vara nya Nokia Lumia EOS

Bilder på vad som kan vara nya Nokia Lumia EOS

2025
Bygg 2013-enheter: väntar på tillverkare

Bygg 2013-enheter: väntar på tillverkare

2025
Back to top button