Bing

„Facebook“ atidarė slaptas duris Edge, leidžiančią paleisti „Flash“ naudotojui to nežinant

2025
„Facebook“ atidarė slaptas duris Edge, leidžiančią paleisti „Flash“ naudotojui to nežinant

Turinys:

Anonim

Ar nerimaujate dėl savo duomenų privatumo? Palaukite, nes kreivės artėja. Saugumo tyrinėtojas aptiko trūkumą, turintį įtakos „Microsoft“ žiniatinklio naršyklei „Edge“. Laukiant, kol karštosios pataisos pereis prie „Chromium“ pagrįsto atvaizdavimo variklio, „Edge“ problemos išlieka.

Įspėjimas, kaip ir kitais atvejais, gaunamas iš „Google Project Zero“, skyriaus, atsakingo už programų ir operacinių sistemų klaidų ir spragų tyrimą bei aptikimą. Ir šiuo atveju Ivanas Fratricas (@ifsecure) aptiko „Edge“ klaidą, kuri leidžia vykdyti „Flash“ kodą vartotojui apie tai nežinant .

Free Bar for Flash

Norėdami gauti šiek tiek informacijos, turime keliauti laiku atgal iki 2018 m. pabaigos. Iš Google Project Zero jie atrado b altąjį sąrašą(b altasis sąrašas) Edge. Tai sąrašas, kuris veikia taip pat, kaip ir tas, kurį galime naudoti _išmaniuosiuose telefonuose_, išskyrus tai, kad vietoj telefono numerių jis naudoja žiniatinklio paslaugas.

Iš viso šis sąrašas suteikė mūsų komandoms nemokamą prieigą, todėl iki 58 visų rūšių svetainių galėjo paleisti kodą, pagrįstą „Adobe Flash“ir visa tai, žinoma, nukentėjusiajai pusei apie tai nežinant. Tai buvo problema.

"

„Microsoft“ buvo atkreiptas dėmesys į problemą, „Edge“ buvo pataisyta ir nors jie išsprendė problemos esmę, jie negalėjo pašalinti visų grėsmiųJie išlaikė dvi svetaines, kurios vis dar turėjo leidimus paleisti „Flash“.Ir jie abu buvo paveikti „Facebook“. Tai yra du privilegijuoti domenai: "

  • https://www.facebook.com
  • https://apps.facebook.com
"

Tai reiškia, kad bet koks valdiklis, veikiantis naudojant „Flash“ ir įtrauktas į bet kurį iš šių domenų, gali pažeisti „Microsoft“ saugos priemonesBe to, Pats Fratric atrado naują riziką, dėl kurios galima apeiti „Clicktorun“ politiką, kuria gali pasigirti „Edge“ ir kuri suteikia vartotojui prieigą prie kompiuterio. Tai yra tas, kuris gali pripažinti arba paneigti tokio tipo paslaugų vykdymą. Svarbi saugumo spraga, nes „Flash“ kodas gali būti vykdomas šiuose domenuose arba net per MITM (Man In The Middle) ataką."

"

Pagal pranešimą svetainėje, _kai lankotės svetainėje, kuri bando įkelti „Flash“ turinį naršydami naudodami „Microsoft Edge“, pradedant nuo „Windows 10 Creators Update“, galite pastebėti, kad tam tikri svetainės aspektai neveikia tinkamai taip, kaip tikitės. Šis netikėtas elgesys gali atsirasti dėl to, kad „Flash“ pagal numatytuosius nustatymus buvo užblokuota dėl „Flash Click-to-Run_“ funkcijos. Teoriškai taip turėtų veikti"

Vinis iki krašto

Šis faktas yra ypač rimtas, nes reiškia, kad vartotojo duomenų saugumui ir vientisumui kyla pavojus. Ir, beje, tai prieštarauja „Edge“ saugumo politikai, kuri kovoja su nesąžiningu tokio pobūdžio praktikos naudojimu.

"

Tai yra Meškos paslauga, kurią tokie veiksmai daro Edge, silpnos sveikatos navigatoriui, kuris jau mato, kaip Microsoft It nustatė mirties data, kai sistemoje Windows 10 2019 m. spalio mėn. Atnaujinkite naująjį Edge."

Per | ZDNet Viršelio vaizdas | iAmMrRob

Bing

Pasirinkta redaktorius

Ar HTC praranda susidomėjimą „Windows Phone“?

Ar HTC praranda susidomėjimą „Windows Phone“?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Vaizdai, koks galėtų būti naujasis „Nokia Lumia EOS“.

Vaizdai, koks galėtų būti naujasis „Nokia Lumia EOS“.

2025
Build 2013 įrenginiai: laukia gamintojų

Build 2013 įrenginiai: laukia gamintojų

2025
Back to top button