Korisnici Microsoftovog web-preglednika Edge imaju tajni Flash popis dopuštenih datoteka koji omogućuje pokretanje Flash sadržaja bez klika za reprodukciju zaštite na uključenim web mjestima.
Microsoft Edge, zadani preglednik Microsoftovog operativnog sustava Windows 10, izvorno podržava Adobe Flash. Flash je postavljen da klikne za reprodukciju u pregledniku, a korisnici mogu u potpunosti onemogućiti Flash u postavkama preglednika.
Microsoft redovito objavljuje ažuriranja za Flash redovito na mjesečni dan tvrtke u popravku kako bi riješio probleme sigurnosti otkrivene u Flashu.
Nedavno je došlo do saznanja da je Microsoft implementirao Flash popis datoteka koji dopušta Flash prikaz da se pokreće na 58 različitih domena bez interakcije korisnika. Web lokacije na tom popisu uključuju Deezer, Facebook, MSN portal, Yahoo ili QQ, ali i stavke koje ne bi nužno očekivati na takvom popisu poput španjolskog frizerskog salona.
Microsoft je ograničio popis na ovosezonskom ažuriranju Patch Tuesday-a na samo dva unosa na Facebooku i nametnuo upotrebu HTTPS-a za te stranice nakon što je Googleov inženjer krajem 2018. godine podnio izvješće o pogrešci s tvrtkom.
Microsoft je zabludio popis i Googleov inženjer morao ga je probiti koristeći rječnik poznatih i popularnih imena domena.
Prema izvještaju o pogrešci, Flash sadržaj se može učitati ako se on nalazi na jednoj od dopuštenih domena ili ako je Flash element veći od 398x298 piksela.
Napadači mogu iskoristiti popis da bi zaobišli klikove da bi se u potpunosti igrali ili koristili XSS ranjivosti na nekim od uključenih web mjesta. Microsoft Edge poštuje Flash klik za igranje pravila na svim ostalim web mjestima. Korisnici moraju dopustiti izvršavanje Flash sadržaja u programu Microsoft Edge na web-lokacijama koje nisu na popisu s bijele liste.
Nije jasno zašto je Microsoft dodao bijelu listu; moguće je da je to učinio kako bi poboljšao kompatibilnost na odabranim web lokacijama. Iako bi to imalo smisla na većim web lokacijama poput Flashbooka koji i dalje sadrže Flash sadržaj, nejasno je koje je parametre Microsoft koristio za izradu popisa.
Na popisu se nalaze neke arkadne stranice koje nude Flash igre, ali ne navode jednako popularne arkadne stranice koje također sadrže Flash igre. Zbunjujuće je to što su neke stranice na popisu, a druge nisu. Moguće je da su dodana neka mjesta
Kontaktirali smo Microsoft za komentar, ali se još nismo čuli. Članak ćemo ažurirati ako se pojave dodatne informacije.
Završne riječi
Zbunjujuće je što će Microsoft dodati svoj bijeli popis Flash u preglednik Edge s obzirom da Microsoft nikada ne uspije istaknuti Edgeove sigurnosne značajke. Dopuštanje web lokacijama da pokreću Flash sadržaj bez odobrenja korisnika vrlo je problematično sa sigurnosnog stajališta čak i na popularnim web lokacijama.
Preuzimanje nadzora i neotkrivanje činjenica korisnicima vrlo je problematično, ne samo sa sigurnosnog stajališta, već i kada se radi o povjerenju.
Sada vi : Što mislite o ovome?
