Οι περιηγητές ιστού της Microsoft χρησιμοποιούν έναν μυστικό κατάλογο λευκής λίστας Flash που επιτρέπει στο περιεχόμενο Flash να εκτελείται χωρίς να γίνεται κλικ για αναπαραγωγή προστασίας στους περιεχόμενους ιστότοπους.
Το Microsoft Edge, το προεπιλεγμένο πρόγραμμα περιήγησης του λειτουργικού συστήματος των Windows 10 της Microsoft, υποστηρίζει εγγενώς το Adobe Flash. Το Flash έχει οριστεί σε κλικ με κλικ στο πρόγραμμα περιήγησης και οι χρήστες μπορούν να απενεργοποιήσουν πλήρως το Flash στις ρυθμίσεις του προγράμματος περιήγησης.
Η Microsoft κυκλοφορεί τακτικά ενημερώσεις Flash στη μηνιαία μέρα της ενημερωμένης έκδοσης για να διορθώσει προβλήματα ασφαλείας που εντοπίστηκαν στο Flash.
Πρόσφατα ήρθε στο φως ότι η Microsoft εφάρμοσε μια λευκή λίστα Flash που επέτρεψε την εκτέλεση του περιεχομένου Flash σε 58 διαφορετικούς τομείς χωρίς αλληλεπίδραση χρηστών. Οι ιστότοποι που περιλαμβάνονται στη λίστα περιελάμβαναν το Deezer, το Facebook, την πύλη MSN, το Yahoo ή το QQ, αλλά και καταχωρήσεις που κανείς δεν θα περίμενε αναγκαστικά σε μια τέτοια λίστα όπως ένα ισπανικό κομμωτήριο.
Η Microsoft περιόρισε τη λίστα στην ενημερωμένη έκδοση του Patch Tuesday, σε δύο μόλις καταχωρίσεις στο Facebook, και επέβαλε τη χρήση του HTTPS για αυτούς τους ιστότοπους, αφού ένας μηχανικός της Google υπέβαλε αναφορά σφαλμάτων στην εταιρεία στα τέλη του 2018.
Η Microsoft περιέγραψε τη λίστα και ο μηχανικός της Google έπρεπε να το σπάσει χρησιμοποιώντας ένα λεξικό γνωστών και δημοφιλών ονομάτων τομέα.
Σύμφωνα με την αναφορά σφάλματος, επιτρέπεται η φόρτωση περιεχομένου Flash εάν φιλοξενείται σε έναν από τους τομείς που έχουν επιλεγεί σε λευκή λίστα ή αν το στοιχείο Flash είναι μεγαλύτερο από 398x298 εικονοστοιχεία.
Οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν τη λίστα για να παρακάμψουν πλήρως τις πολιτικές κλικ για να παίξουν ή να χρησιμοποιήσουν ευπάθειες XSS σε μερικούς από τους περιεχόμενους ιστότοπους. Το Microsoft Edge σέβεται τα κλικ Flash για την αναπαραγωγή πολιτικών σε όλους τους άλλους ιστότοπους. Οι χρήστες πρέπει να επιτρέπουν την εκτέλεση του περιεχομένου Flash στο Microsoft Edge σε μη εξουσιοδοτημένους ιστότοπους.
Δεν είναι σαφές γιατί η Microsoft πρόσθεσε την λίστα επιτρεπτών δεδομένων. είναι πιθανό ότι το έκανε για να βελτιώσει τη συμβατότητα σε επιλεγμένους ιστότοπους. Ενώ αυτό θα είχε νόημα σε σημαντικές τοποθεσίες όπως το Flashbook που φιλοξενεί περιεχόμενο Flash, είναι ασαφές ποιες παράμετροι η Microsoft χρησιμοποίησε για να δημιουργήσει τη λίστα.
Η λίστα περιλαμβάνει ορισμένες τοποθεσίες arcade που φιλοξενούν Flash παιχνίδια, αλλά δεν περιλαμβάνει εξίσου δημοφιλή sites arcade που φιλοξενούν επίσης παιχνίδια Flash. Είναι περίεργο το γεγονός ότι ορισμένες τοποθεσίες βρίσκονται στη λίστα, ενώ άλλες δεν είναι. Είναι πιθανό να έχουν προστεθεί κάποιες τοποθεσίες
Επικοινωνήσαμε με τη Microsoft για σχόλια, αλλά δεν το ακούσαμε ακόμα. Θα ενημερώσουμε το άρθρο, εάν προκύψουν πρόσθετες πληροφορίες.
Λέξεις κλεισίματος
Είναι περίεργο το γεγονός ότι η Microsoft θα προσθέσει μια λευκή λίστα Flash στον περιηγητή Edge της, δεδομένου ότι η Microsoft δεν αποτυγχάνει ποτέ να επισημάνει τα χαρακτηριστικά ασφαλείας της Edge. Το να επιτρέπεται σε ιστότοπους να εκτελούν περιεχόμενο Flash χωρίς άδεια των χρηστών είναι ιδιαίτερα προβληματική από άποψη ασφάλειας, ακόμη και σε δημοφιλείς τοποθεσίες.
Η απομάκρυνση του ελέγχου και η μη γνωστοποίηση του γεγονότος στους χρήστες είναι εξαιρετικά προβληματική όχι μόνο από άποψη ασφάλειας αλλά και όταν πρόκειται για εμπιστοσύνη.
Τώρα εσείς : Ποια είναι η στάση σας σε αυτό;
