Microsoft Egde omogućava Facebook-u pokretanje Flash koda bez znanja korisnika

0
28

Istraživači bezbednosti iz kompanije Google pronašli su kod koji omogućava da društvena mreža Facebook pokrene Flash sadržaj uprkos sigurnosnom politikom koju Edge ima.

Microsoft-ov Edge pretraživač sadrži tajnu belu listu koja omogućava pokretanje Adobe Flash koda iza leđa korisnika. Bela lista dozvoljava Facebook Flash sadržaju da zaobilazi sigurnosne funkcije Edge, kao što je politika „klikni za reprodukciju“ koja obično sprečava da veb sajtovi koriste Flash kod bez prethodnog odobrenja korisnika.

U februaru 2019, tajni bela lista je sadržala 58 unosa, uključujući domene i poddomene za glavnu lokaciju Microsofta, MSN portal, uslugu streaminga muzike Deezer, Yahoo i kinesku društvenu mrežu KK.

Microsoft je smanjio listu na dva Facebook domena tokom ovog meseca, nakon što su sigurnosni istraživači iz kompanije Google otkrili nekoliko sigurnosnih propusta u Edgeovom tajnom Flash mehanizmu.

Ivan Fratric je prošlog novembra podneo izveštaj o grešci Microsoftu, a Microsoft je isporučio rešenje za popravke za utorak ovog meseca tako što je listu sa 58 URL-ova ograničio na samo dva domena i sproveo HTTPS za sve domene na listi.

U izveštaju o grešci se nalazi i originalna verzija bele liste, sa svih 58 domena. U svojoj trenutnoj verziji, Edge će omogućiti Facebook-u da izvrši bilo koji Flash dodatak koji ima dimenziju preko 398k298 piksela i hostovan je na https://www.facebook.com i https://apps.facebook.com domenima.

Najverovatnije, Facebook je na Microsoftovom Edge belom popisu kako bi podržao veliku kolekciju naslieđenih Flash igara na društvenim mrežama. Za bilo koji drugi Flash widget na bilo kom drugom veb sajtu, Edge će poštovati svoju podrazumevanu politiku klik-za-igranje, što znači da veb-lokacijama nije dozvoljeno da izvršavaju Flash bez dozvole korisnika, što obično znači omogućavanje izvršavanja Flash-a preko ikone adresne trake.

Komentarišući na Twitteru, Google-ov istraživač sigurnosti iskazao je svoje iznenađenje kako i ko upravlja belom listom, i kako je došlo do toga. “Toliko lokacija za koje sam potpuno zbunjen zašto su tamo”, rekao je Fratrić. “Kao recimo mesto frizerke u Španiji ((link: http://www.dgestilistas.es)

Pitam se kako je formirana lista i ako je [Microsoft Securiti Response Center] znao za to. ” Poslali smo zahteve za komentar na ovo pitanje i Facebooku i Microsoftu. Mi ćemo ažurirati da li kompanije žele da daju komentare i pruže više uvida u ovo pitanje. Adobe i glavni proizvođači pretraživača su postavljeni na Flash do kraja 2020. godine, dok je Microsoft najavio planove za prebacivanje Edge-a sa svog vlasničkog Edge HTML pretraživača na Google-ov Chromium.

Autor: Radovan Laćarak – [email protected]

LEAVE A REPLY

Please enter your comment!
Please enter your name here