Facebook ima otvorena tajna vrata u Edgeu koja mu omogućuju pokretanje Flasha bez znanja korisnika
Sadržaj:
Brinete li se za privatnost svojih podataka? Samo malo jer dolaze krivulje. Istraživač sigurnosti otkrio je grešku koja utječe na Microsoftov web preglednik, Edge. Dok se čeka hitni popravak za prelazak na mehanizam za renderiranje temeljen na Chromiumu, problemi ostaju za Edge.
Upozorenje, kao i u drugim prilikama, dolazi iz Google Project Zero, odjela zaduženog za istraživanje i otkrivanje grešaka i praznina u aplikacijama i operativnim sustavima. A u ovom slučaju Ivan Fratrić, (@ifsecure), otkrio je grešku u Edgeu koja dopušta izvršavanje Flash koda a da korisnik ne zna za to.
Besplatna traka za Flash
Da bismo dobili pozadinu, moramo otputovati u prošlost do kraja 2018. Iz Google Project Zero otkrili su bijelu listu(bijeli popis) u Edgeu. To je lista koja radi isto kao i ona koju možemo koristiti na _pametnim telefonima_, samo što umjesto telefonskih brojeva koristi web servise.
Ukupno, ovaj popis je našim timovima omogućio besplatan pristup tako da je do 58 web stranica svih vrsta moglo pokrenuti kod temeljen na Adobe Flashui sve to, naravno, bez znanja oštećene strane. To je bio problem.
Microsoftu je skrenuta pozornost na problem, Edge je zakrpan i iako su se pozabavili korijenom problema, nisu uspjeli eliminirati sve prijetnjeUstrajali su na dvije web stranice koje su još uvijek imale dozvole za pokretanje Flasha.A oboje su bili pod utjecajem Facebooka. Ovo su dvije privilegirane domene:"
- https://www.facebook.com
- https://apps.facebook.com
To znači da svaki widget koji radi na Flashu i uključen je u bilo koju od ovih domena, može prekršiti Microsoftove sigurnosne mjereDodatno, Fratric je sam otkrio novi rizik putem kojeg se može zaobići clicktorun politika kojom se hvali Edge i koja korisniku daje kontrolu nad pristupom računalu. To je onaj koji može priznati ili uskratiti izvršenje ove vrste usluga. Važna sigurnosna rupa, budući da Flash kod mogu izvršiti ove domene ili čak putem MITM (Man In The Middle) napada."
Prema obavijesti na web-mjestu, _kada posjetite web-mjesto koje pokušava učitati Flash sadržaj dok pregledavate Microsoft Edge počevši od Windows 10 Creators Update, možete primijetiti da određeni aspekti web-mjesta ne ne radi ispravno na način na koji očekujete. Ovo neočekivano ponašanje može biti rezultat blokiranja Flasha prema zadanim postavkama zbog značajke Flash Click-to-Run_. U teoriji bi trebalo ovako funkcionirati"
Nokat do ruba
Ova je činjenica posebno ozbiljna, jer znači da su sigurnost i integritet korisničkih podataka ugroženi. I usput, to je u suprotnosti sa sigurnosnim politikama tvrtke Edge, koja se bori protiv lažne upotrebe ove vrste prakse.
"Ovakvi postupci čine lošu uslugu Edgeu, navigatoru osjetljivog zdravlja koji već vidi kako je Microsoft postavio datum smrti kada je u sustavu Windows 10. listopada 2019. ažuriranje novog Edgea stvarnost."
Preko | ZDNet Naslovna slika | iAmMrRob
