Facebook ay may isang lihim na pinto na nakabukas sa Edge na nagbibigay-daan dito upang patakbuhin ang Flash nang hindi nalalaman ng user

Nababahala ka ba sa privacy ng iyong data? Manatiling tigil habang paparating ang mga kurba. Isang security researcher ang nakatuklas ng isang depekto na nakakaapekto sa web browser ng Microsoft, Edge. Habang naghihintay ng hotfix para lumipat sa Chromium-based rendering engine, nananatili ang mga isyu para sa Edge.

Ang alerto, tulad ng sa ibang mga okasyon, ay nagmumula sa Google Project Zero, isang departamentong namamahala sa pagsisiyasat at pag-detect ng mga bug at gaps sa mga application at operating system. At sa kasong ito, si Ivan Fratric, (@ifsecure), ay naka-detect ng bug sa Edge na ay nagbibigay-daan sa Flash code na maisakatuparan nang hindi nalalaman ng user ang tungkol dito .

Libreng Bar para sa Flash

Upang makakuha ng ilang background, kailangan nating bumalik sa nakaraan hanggang sa katapusan ng 2018. Mula sa Google Project Zero nakatuklas sila ng puting listahan(white list ) sa Edge. Ito ay isang listahan na gumagana katulad ng isa na magagamit natin sa _smartphones_, maliban na sa halip na gumamit ng mga numero ng telepono ay gumagamit ito ng mga serbisyo sa web.

Sa kabuuan, ang listahang ito ay nagbigay sa aming mga koponan ng libreng access upang hanggang sa 58 mga website sa lahat ng uri ay maaaring magpatakbo ng code batay sa Adobe Flashat lahat ng ito, siyempre, nang walang anumang kaalaman ang apektadong partido tungkol dito. Iyon ang problema.

"

Microsoft ay dinala sa atensyon ng problema, Edge ay na-patched at bagama&39;t natugunan nila ang ugat ng problema, hindi nila nagawang alisin ang lahat ng mga bantaIpinagpatuloy nila ang dalawang website na mayroon pa ring mga pahintulot na magpatakbo ng Flash.At pareho silang nasa impluwensya ng Facebook. Ito ang dalawang may pribilehiyong domain:"

• https://www.facebook.com
• https://apps.facebook.com

"

Ito ay nangangahulugan na ang anumang widget na tumatakbo sa Flash at kasama sa alinman sa mga domain na ito, maaaring lumabag sa mga hakbang sa seguridad ng MicrosoftBilang karagdagan, Si Fratric mismo ang nakatuklas ng bagong panganib kung saan ang patakaran sa clicktorun na ipinagmamalaki ni Edge ay maaaring iwasan at na nagbibigay ng kontrol sa pag-access sa computer sa user. Ito ang maaaring umamin o tanggihan ang pagpapatupad ng ganitong uri ng mga serbisyo. Isang mahalagang butas sa seguridad, dahil ang Flash code ay maaaring isagawa ng alinman sa mga domain na ito o kahit sa pamamagitan ng pag-atake ng MITM (Man In The Middle)."

"

Ayon sa paunawa sa website, _kapag bumisita ka sa isang website na sumusubok na mag-load ng Flash na content habang nagba-browse gamit ang Microsoft Edge simula sa Windows 10 Creators Update, maaari mong mapansin na ang ilang aspeto ng website ay hindi. hindi gumana nang maayos sa paraang inaasahan mo. Ang hindi inaasahang gawi na ito ay maaaring resulta ng pagka-block ng Flash bilang default dahil sa tampok na Flash Click-to-Run_. Sa teorya dapat ganito ito"

A Nail to Edge

Ang katotohanang ito ay lalong seryoso, dahil nangangahulugan ito na ang seguridad at integridad ng data ng user ay nasa panganib. At siya nga pala, sumasalungat ito sa mga patakaran sa seguridad ng Edge, na lumalaban sa mapanlinlang na paggamit ng ganitong uri ng kasanayan.

"

Ito ay isang disservice na ginagawa ng mga pagkilos na tulad nito kay Edge, isang navigator sa maselang kalusugan na nakikita na kung paano nagtakda ang Microsoft It ng isang petsa ng kamatayan kapag nasa Windows 10 Oktubre 2019 I-update ang bagong Edge ay isang katotohanan."

Via | ZDNet Cover image | iAmMrRob