Facebookilla on salainen ovi auki Edgessä, jonka avulla se voi käyttää Flashia käyttäjän tietämättä
Sisällysluettelo:
Oletko huolissasi tietojesi yksityisyydestä? Odota, kun käyrät tulevat. Tietoturvatutkija on havainnut vian Microsoftin verkkoselaimessa Edgessä. Odottaessa hotfix-korjausta, joka siirtyy Chromium-pohjaiseen renderöintimoottoriin, Edgessä on edelleen ongelmia.
Hälytys, kuten muissakin yhteyksissä, tulee Google Project Zerolta, osastolta, joka vastaa sovellusten ja käyttöjärjestelmien vikojen ja aukkojen tutkimisesta ja havaitsemisesta. Ja tässä tapauksessa Ivan Fratric (@ifsecure) on havainnut virheen Edgessä, joka sallii Flash-koodin suorittamisen käyttäjän tietämättä siitä.
Ilmainen palkki Flashille
Saadaksemme taustaa, meidän on matkustettava ajassa taaksepäin vuoden 2018 loppuun. Google Project Zerosta he löysivät valkoisen listan(valkoinen lista ) Edgessä. Se on luettelo, joka toimii samalla tavalla kuin se, jota voimme käyttää _älypuhelimissa_, paitsi että se käyttää puhelinnumeroiden sijaan verkkopalveluita.
Kaiken kaikkiaan tämä luettelo antoi tiimeillemme ilmaisen pääsyn, joten jopa 58 kaikenlaista verkkosivustoa voi suorittaa Adobe Flashiin perustuvaa koodiaja kaikki tämä tietysti ilman, että asianosainen tietää siitä. Se oli ongelma.
Microsoft saatettiin tietoon ongelmasta, Edge korjattiin ja vaikka he ratkaisivat ongelman ytimeen, he eivät pystyneet poistamaan kaikkia uhkiaHe säilyttivät kaksi verkkosivustoa, joilla oli vielä Flashin käyttöoikeudet.Ja he olivat molemmat Facebookin vaikutuksen alaisia. Nämä ovat kaksi etuoikeutettua verkkotunnusta:"
- https://www.facebook.com
- https://apps.facebook.com
Tämä tarkoittaa, että mikä tahansa Flashissa toimiva widget, joka sisältyy johonkin näistä toimialueista, voi rikkoa Microsoftin suojaustoimenpiteitäLisäksi Fratric itse löysi uuden riskin, jonka kautta Edgen käyttämä clicktorun-käytäntö voitiin kiertää ja joka antaa käyttäjälle pääsyn tietokoneeseen. Tämä on se, joka voi myöntää tai kieltää tämäntyyppisten palvelujen suorittamisen. Tärkeä tietoturva-aukko, koska Flash-koodi voidaan suorittaa joko näillä verkkotunnuksilla tai jopa MITM (Man In The Middle) -hyökkäyksen kautta."
Verkkosivustolla olevan ilmoituksen mukaan _kun vierailet verkkosivustolla, joka yrittää ladata Flash-sisältöä selatessasi Microsoft Edgen kanssa Windows 10 Creators Updatesta alkaen, saatat huomata, että tietyt verkkosivuston osat eivät t toimi oikein odotetulla tavalla. Tämä odottamaton toiminta saattaa johtua siitä, että Flash on estetty oletusarvoisesti Flash Click-to-Run_ -ominaisuuden vuoksi. Teoriassa sen pitäisi toimia näin"
Nail to Edge
Tämä tosiasia on erityisen vakava, koska se tarkoittaa, että käyttäjätietojen turvallisuus ja eheys ovat vaarassa. Ja muuten, se on ristiriidassa Edgen suojauskäytäntöjen kanssa, sillä se taistelee tämäntyyppisten käytäntöjen vilpillistä käyttöä vastaan.
"Tällaisten toimien on karhunpalvelus Edgelle, herkän terveyden navigaattorille, joka näkee jo, kuinka Microsoft It on asettanut kuolinpäivä, kun Windows 10:ssä Lokakuu 2019 Päivitys uusi Edge on todellisuutta."
Via | ZDNet Kansikuva | iAmMrRob
