Веб-браузер Microsoft Edge использует секретный белый список Flash, который позволяет запускать содержимое Flash без щелчка для защиты воспроизведения на включенных сайтах.
Microsoft Edge, браузер по умолчанию в операционной системе Microsoft Windows 10, изначально поддерживает Adobe Flash. Flash настроен на воспроизведение по клику в браузере, и пользователи могут полностью отключить Flash в настройках браузера.
Microsoft регулярно выпускает обновления Flash в день ежемесячного исправления, чтобы исправить проблемы безопасности, обнаруженные во Flash.
Недавно стало известно, что Microsoft внедрил белый список Flash, который позволял запускать контент Flash на 58 различных доменах без вмешательства пользователя. Сайты в этом списке включали Deezer, Facebook, портал MSN, Yahoo или QQ, но также и записи, которые не обязательно ожидать в таком списке, как испанская парикмахерская.
Microsoft ограничила список обновлений Patch вторник в этом месяце только двумя записями в Facebook и навязала использование HTTPS для этих сайтов после того, как инженер Google подал отчет об ошибке в компанию в конце 2018 года.
Microsoft запутала список, и инженеру Google пришлось взломать его, используя словарь известных и популярных доменных имен.
Согласно отчету об ошибке, Flash-контент может загружаться, если он размещен на одном из доменов, занесенных в белый список, или если размер Flash-элемента превышает 398x298 пикселей.
Злоумышленники могут использовать этот список для обхода клика, чтобы полностью воспроизвести политику, или использовать уязвимости XSS на некоторых из включенных сайтов. Microsoft Edge соблюдает Flash click для воспроизведения политик на всех других сайтах. Пользователям необходимо разрешить выполнение содержимого Flash в Microsoft Edge на сайтах, не включенных в белый список.
Неясно, почему Microsoft добавила белый список; Возможно, это было сделано для улучшения совместимости на некоторых сайтах. Хотя это имеет смысл на крупных сайтах, таких как Flashbook, на которых по-прежнему размещается содержимое Flash, неясно, какие параметры Microsoft использовала для создания списка.
В этом списке представлены некоторые аркадные сайты, на которых размещены флэш-игры, но в нем перечислены не столь популярные аркадные сайты, на которых также размещаются флэш-игры. Удивительно, что некоторые сайты есть в списке, а другие нет. Возможно, что некоторые сайты были добавлены
Мы связались с Microsoft для комментариев, но еще не получили ответ. Мы обновим статью, если появится дополнительная информация.
Заключительные слова
Весьма удивительно, что Microsoft добавит белый список Flash в свой браузер Edge, учитывая, что Microsoft никогда не перестает выделять функции безопасности Edge. Разрешить сайтам запускать Flash-контент без разрешения пользователя очень проблематично с точки зрения безопасности даже на популярных сайтах.
Забрать контроль и не разглашать этот факт пользователям очень проблематично не только с точки зрения безопасности, но и с точки зрения доверия.
Теперь вы : Что вы думаете об этом?
