Facebook има отворена тайна врата в Edge, която му позволява да стартира Flash без потребителят да знае

Притеснявате ли се за поверителността на вашите данни? Ами изчакайте, защото идват криви. Изследовател по сигурността е открил пропуск, засягащ уеб браузъра на Microsoft, Edge. Докато чакате актуална корекция за преминаване към базираната на Chromium машина за изобразяване, остават проблеми за Edge.

Сигналът, както и в други случаи, идва от Google Project Zero, отдел, отговарящ за разследване и откриване на грешки и пропуски в приложения и операционни системи. И в този случай Ivan Fratric, (@ifsecure), е открил бъг в Edge, който позволява изпълнението на Flash код без потребителят да знае за това.

Безплатна лента за Flash

За да получим малко предистория, трябва да се върнем назад във времето до края на 2018 г. От Google Project Zero откриха бял списък(бял списък) в Edge. Това е списък, който работи по същия начин като този, който можем да използваме на _смартфони_, с изключение на това, че вместо да използва телефонни номера, той използва уеб услуги.

Общо този списък даде безплатен достъп на нашите екипи, така че до 58 уебсайта от всякакъв вид можеха да изпълняват код, базиран на Adobe Flashи всичко това, разбира се, без засегнатата страна да знае за това. Това беше проблемът.

"

На Microsoft беше обърнато внимание на проблема, Edge беше коригиран и въпреки че се заеха с корена на проблема, те не успяха да премахнат всички заплахиТе поддържаха два уебсайта, които все още имаха разрешения за стартиране на Flash.И двамата бяха под влиянието на Фейсбук. Това са двата привилегировани домейна:"

• https://www.facebook.com
• https://apps.facebook.com

"

Това означава, че всяка джаджа, която работи на Flash и е включена в някой от тези домейни, може да наруши мерките за сигурност на MicrosoftВ допълнение, Самият Fratric откри нов риск, чрез който може да бъде заобиколена политиката clicktorun, с която се хвали Edge и която предоставя контрол на достъпа до компютъра на потребителя. Това е този, който може да допусне или откаже изпълнението на този вид услуги. Важна дупка в сигурността, тъй като Flash кодът може да бъде изпълнен или от тези домейни, или дори чрез MITM (Man In The Middle) атака."

"

Според известието на уебсайта, _когато посетите уебсайт, който се опитва да зареди Flash съдържание, докато сърфирате с Microsoft Edge, започвайки с Windows 10 Creators Update, може да забележите, че определени аспекти на уебсайта не не работи правилно по начина, по който очаквате. Това неочаквано поведение може да е резултат от блокиране на Flash по подразбиране поради функцията Flash Click-to-Run_. На теория би трябвало така да работи"

Пирон до ръба

Този факт е особено сериозен, тъй като означава, че сигурността и целостта на потребителските данни са изложени на риск. И между другото, това противоречи на политиките за сигурност на Edge, които се борят срещу измамното използване на този тип практика.

"

Мечешка услуга е, че действия като това правят на Edge, навигатор в деликатно здраве, който вече вижда как Microsoft е поставил смъртна дата, когато в Windows 10 октомври 2019 Актуализацията на новия Edge е реалност."

През | ZDNet Изображение на корицата | iAmMrRob