Používatelia webového prehľadávača spoločnosti Microsoft Edge tajný zoznam povolených položiek vo formáte Flash, ktorý umožňuje spustenie obsahu vo formáte Flash bez kliknutia na ochranu prehrávania na zahrnutých stránkach.
Microsoft Edge, predvolený prehliadač operačného systému Microsoft Windows 10, natívne podporuje Adobe Flash. Flash je v prehliadači nastavený na klikanie a používatelia môžu Flash v nastaveniach prehliadača úplne zakázať.
Spoločnosť Microsoft pravidelne vydáva aktualizácie programu Flash v mesačný opravný deň spoločnosti, aby vyriešila bezpečnostné problémy objavené vo formáte Flash.
Nedávno vyšlo najavo, že spoločnosť Microsoft implementovala biely zoznam povolených položiek, ktorý umožňoval spustenie obsahu Flash na 58 rôznych doménach bez zásahu používateľa. Stránky na tomto zozname zahŕňali Deezer, Facebook, portál MSN, Yahoo alebo QQ, ale tiež záznamy, ktoré by človek na takomto zozname nemusel očakávať, napríklad španielsky kadernícky salón.
Spoločnosť Microsoft obmedzila zoznam v tomto mesiaci na aktualizáciu Patch Utorok iba na dva záznamy na Facebooku a vynútila používanie protokolu HTTPS pre tieto stránky potom, čo technik spoločnosti Google podal na konci roka 2018 hlásenie o chybe.
Spoločnosť Microsoft tento zoznam utajila a inžinier Google ho musel prelomiť pomocou slovníka známych a populárnych doménových mien.
Podľa hlásenia o chybe sa obsah vo formáte Flash môže načítať, ak je hostený v jednej z povolených domén alebo ak je prvok Flash väčší ako 398 x 298 pixlov.
Útočníci by mohli zoznam využiť na úplné obídenie zásad prehrávania kliknutím alebo na niektorých zahrnutých lokalitách použiť zraniteľné miesta XSS. Microsoft Edge rešpektuje pravidlá pre klikanie na Flash na všetkých ostatných stránkach. Používatelia musia povoliť vykonávanie obsahu Flash v aplikácii Microsoft Edge na webových stránkach, ktoré nie sú na zozname povolených.
Nie je jasné, prečo Microsoft pridal bielu listinu; je možné, že tak urobila, aby zlepšila kompatibilitu na vybraných stránkach. Aj keď by to malo zmysel na veľkých stránkach, ako je Flashbook, ktoré stále hosťujú obsah vo formáte Flash, nie je jasné, ktoré parametre spoločnosť Microsoft použila na vytvorenie zoznamu.
Zoznam obsahuje niektoré arkádové weby, ktoré sú hostiteľmi hier Flash, ale neobsahuje zoznam rovnako populárnych arkádových serverov, ktoré tiež hosťujú hry Flash. Je zarážajúce, že niektoré stránky sú na zozname, zatiaľ čo iné nie. Je možné, že niektoré stránky boli pridané
Kontaktovali sme spoločnosť Microsoft kvôli pripomienkam, ale zatiaľ sme ju nepočuli. Ak sa objavia ďalšie informácie, budeme článok aktualizovať.
Záverečné slová
Je zarážajúce, že spoločnosť Microsoft by do svojho prehľadávača Edge pridala bielu listinu, pretože spoločnosť Microsoft nikdy nezvýrazní bezpečnostné prvky spoločnosti Edge. Povolenie webovým stránkam spúšťať obsah vo formáte Flash bez povolenia používateľa je z hľadiska zabezpečenia veľmi problematické aj na populárnych stránkach.
Zbaviť kontroly a nesprístupniť túto skutočnosť používateľom je veľmi problematické nielen z hľadiska bezpečnosti, ale aj z hľadiska dôvery.
Teraz ste : Aký je váš názor na to?
