Bing

Facebook Edge ir atvērtas slepenās durvis, kas ļauj palaist Flash bez lietotāja ziņas

2024
Facebook Edge ir atvērtas slepenās durvis, kas ļauj palaist Flash bez lietotāja ziņas

Satura rādītājs:

Anonim

Vai jūs uztraucaties par savu datu konfidencialitāti? Pagaidiet, jo tuvojas līknes. Drošības pētnieks ir atklājis trūkumu, kas ietekmē Microsoft tīmekļa pārlūkprogrammu Edge. Gaidot labojumfailu, lai pārietu uz Chromium bāzes renderēšanas programmu, Edge joprojām pastāv problēmas.

Brīdinājumu, tāpat kā citos gadījumos, sniedz Google Project Zero — nodaļa, kas ir atbildīga par lietojumprogrammu un operētājsistēmu kļūdu un nepilnību izmeklēšanu un noteikšanu. Un šajā gadījumā Ivans Fratričs (@ifsecure) ir atklājis kļūdu Edge, kas ļauj izpildīt Flash kodu, lietotājam par to nezinot .

Free Bar Flash

Lai iegūtu pamatinformāciju, mums ir jāceļo pagātnē līdz 2018. gada beigām. No Google Project Zero viņi atklāja b alto sarakstu(b altais saraksts) Edge. Tas ir saraksts, kas darbojas tāpat kā tas, ko varam izmantot _viedtālruņos_, izņemot to, ka tālruņa numuru vietā tiek izmantoti tīmekļa pakalpojumi.

Kopumā šis saraksts sniedza mūsu komandām brīvu piekļuvi, lai līdz 58 visu veidu vietnēm varētu palaist kodu, kura pamatā ir Adobe Flashun tas viss, protams, skartajai pusei par to nezinot. Tā bija problēma.

"

Microsoft tika pievērsta uzmanība problēmai, Edge tika izlabots un, lai gan viņi novērsa problēmas sakni, viņi nespēja novērst visus draudusViņi saglabāja divas vietnes, kurām joprojām bija atļaujas palaist Flash.Un viņi abi bija Facebook ietekmē. Šie ir divi priviliģētie domēni: "

  • https://www.facebook.com
  • https://apps.facebook.com
"

Tas nozīmē, ka jebkurš logrīks, kas darbojas ar Flash un ir iekļauts jebkurā no šiem domēniem, var pārkāpt Microsoft drošības pasākumusTurklāt Pats Fratric atklāja jaunu risku, ar kuru var apiet klikšķināšanas politiku, ar kuru Edge lepojas, un kas lietotājam piešķir kontroli pār piekļuvi datoram. Tas ir tas, kurš var atzīt vai noliegt šāda veida pakalpojumu izpildi. Svarīgs drošības robs, jo Flash kodu var izpildīt vai nu šie domēni, vai pat ar MITM (Man In The Middle) uzbrukumu."

"

Saskaņā ar paziņojumu vietnē, _apmeklējot vietni, kas mēģina ielādēt Flash saturu, pārlūkojot programmu Microsoft Edge, sākot ar Windows 10 Creators Update, jūs varat pamanīt, ka daži vietnes aspekti nestrādājiet pareizi, kā jūs gaidāt. Šīs neparedzētās darbības iemesls var būt Flash bloķēšana pēc noklusējuma Flash funkcijas Click-to-Run_ dēļ. Teorētiski tā tam vajadzētu darboties"

Nagla līdz malai

Šis fakts ir īpaši nopietns, jo tas nozīmē, ka lietotāja datu drošība un integritāte ir apdraudēta. Un, starp citu, tas ir pretrunā ar Edge drošības politiku, kas cīnās pret šāda veida prakses krāpniecisku izmantošanu.

"

Tas ir nepakalpojums, ko šādas darbības nodara Edge — navigatoram ar delikātu veselību, kurš jau redz, kā Microsoft It ir iestatījis miršanas datums, kad operētājsistēmā Windows 10 2019. gada oktobra atjaunināšana jaunā Edge ir realitāte."

Via | ZDNet Vāka attēls | iAmMrRob

Bing

Izvēle redaktors

Vai HTC zaudē interesi par Windows Phone?

Vai HTC zaudē interesi par Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Attēli, kas varētu būt jaunais Nokia Lumia EOS

Attēli, kas varētu būt jaunais Nokia Lumia EOS

2024
Build 2013 ierīces: gaida ražotājus

Build 2013 ierīces: gaida ražotājus

2024
Back to top button