КАТАЛОГ ВЕБ-БРАУЗЕРОВ ДЛЯ
Абсолютно бесплатная и безопасная загрузка файлов. Удобная навигация, понятная система управления и всегда новые версии браузеров.
БРАУЗЕР - ВАШ ВЫХОД В ИНТЕРНЕТ! ОБНОВИТЕ ОБОЗРЕВАТЕЛЬ ИНТЕРНЕТА ДО АКТУАЛЬНОЙ ВЕРСИИ.
Представляем собственный
веб-браузер! S-Browser
веб-браузер! S-Browser
Главная » Все браузеры » Microsoft Edge позволяет Facebook запускать Flash-код без ведома пользователей.
Разрешение монитора
Управление браузером
Microsoft Edge позволяет Facebook запускать Flash-код без ведома пользователей.
04:42 МСК, 26 февраля 2019 г. Автор: Admin
Браузер Microsoft Edge содержит секретный белый список, который позволяет Facebook запускать код Adobe Flash не спрашивая пользователей. Белый список позволяет Flash-контенту Facebook обходить такие функции безопасности Edge, как политика click-to-play, которая обычно запрещает веб-сайтам запускать Flash-код без предварительного согласия пользователя.
До февраля 2019 года, секретный белый список Flash содержал 58 записей, в том числе домены и субдомены для основного сайта Microsoft, портала MSN, службы потоковой передачи музыки Deezer, Yahoo и китайской социальной сети QQ, только для того, чтобы назвать самые большие имена в списке. Microsoft сократила список до двух доменов Facebook в начале этого месяца после того, как исследователь безопасности Google обнаружил несколько уязвимостей в секретном механизме белого списка Edge. Исследователь безопасности Google Project Zero, Иван Фратрик (Ivan Fratric), обнаруживший этот белый список, и описал обнаруженные недостатки безопасности следующим образом:
- Уязвимость XSS в любом из доменов делает возможным обход политики click2play [и запуск вредоносного кода Flash в этих доменах].
- Уже есть *общеизвестные* и *не исправленные* случаи уязвимостей XSS, по крайней мере, в некоторых доменах из белого списка.
- Белый список не ограничен протоколом https. Даже в отсутствие уязвимости XSS это позволит злоумышленнику MITM обойти политику click2play.
Фратрик подал отчет об ошибке в Microsoft, в ноябре прошлого года, и компания создала выпуск с исправлениями Patch во вторник, в этом месяце, ограничив список из 58-ми URL-адресов только двумя доменами и применяя HTTPS для всех ресурсов, включенных в список. Отчет об ошибке также содержит оригинальную версию белого списка со всеми пятидесяти восьми доменами.
В своей текущей версии, Edge позволит Facebook выполнять любой виджет Flash размером более 398x298 пикселей, размещенный в доменах https://www.facebook.com и https://apps.facebook.com. Скорее всего, Facebook находится в белом списке Microsoft Edge, чтобы поддерживать большую коллекцию устаревших Flash-игр социальной сети. Для любого другого виджета Flash, на любом другом веб-сайте, Edge соблюдает свою политику по умолчанию "click-to-play", это означает, что веб-сайтам не разрешается запускать Flash без разрешения пользователей, что обычно соответствует включению выполнения Flash с помощью значка в адресной строке.
Комментируя в Твиттере, исследователь безопасности из Google высказал свое недоумение о том, как и кто управлял белым списком, и вообще каким образом он появился. «Так, много сайтов, которых я полностью отказываюсь понимать, почему они там» - сказал Фратрик. Все-таки нтересно, как же был сформирован этот список, если Центр реагирования безопасности Microsoft наверняка знал об этом.
Когда мы обратились за комментариями, представитель Facebook сказал, что они не требовали от Microsoft войти в белый список, и что они попросили Microsoft удалить домены Facebook из списка. Microsoft, с другой стороны, не ответила напрямую на наши вопросы, касающиеся белого списка, заявив о предстоящем удалении Flash из Edge. «Мы приближаемся к тому моменту, когда Flash больше не является частью возможностей Microsoft Edge по умолчанию на каком-либо сайте, и недавние изменения в феврале стали следующим шагом в плане перехода», - сказали в компании.
Компания Adobe и другие крупнейшие производители браузеров настроены на постепенный отказ от использования Flash до конца 2020 года, в то время как Microsoft объявила о планах перевести Edge со своего запатентованного движка EdgeHTML на проект Chromium.
________________________________________________________________________________________________
Исследователь безопасности из Google находит секретный белый список, который позволяет Facebook запускать Flash-контент, несмотря на обычную политику безопасности Edge.
Браузер Microsoft Edge содержит секретный белый список, который позволяет Facebook запускать код Adobe Flash не спрашивая пользователей. Белый список позволяет Flash-контенту Facebook обходить такие функции безопасности Edge, как политика click-to-play, которая обычно запрещает веб-сайтам запускать Flash-код без предварительного согласия пользователя.
До февраля 2019 года, секретный белый список Flash содержал 58 записей, в том числе домены и субдомены для основного сайта Microsoft, портала MSN, службы потоковой передачи музыки Deezer, Yahoo и китайской социальной сети QQ, только для того, чтобы назвать самые большие имена в списке. Microsoft сократила список до двух доменов Facebook в начале этого месяца после того, как исследователь безопасности Google обнаружил несколько уязвимостей в секретном механизме белого списка Edge. Исследователь безопасности Google Project Zero, Иван Фратрик (Ivan Fratric), обнаруживший этот белый список, и описал обнаруженные недостатки безопасности следующим образом:
- Уязвимость XSS в любом из доменов делает возможным обход политики click2play [и запуск вредоносного кода Flash в этих доменах].
- Уже есть *общеизвестные* и *не исправленные* случаи уязвимостей XSS, по крайней мере, в некоторых доменах из белого списка.
- Белый список не ограничен протоколом https. Даже в отсутствие уязвимости XSS это позволит злоумышленнику MITM обойти политику click2play.
Фратрик подал отчет об ошибке в Microsoft, в ноябре прошлого года, и компания создала выпуск с исправлениями Patch во вторник, в этом месяце, ограничив список из 58-ми URL-адресов только двумя доменами и применяя HTTPS для всех ресурсов, включенных в список. Отчет об ошибке также содержит оригинальную версию белого списка со всеми пятидесяти восьми доменами.
В своей текущей версии, Edge позволит Facebook выполнять любой виджет Flash размером более 398x298 пикселей, размещенный в доменах https://www.facebook.com и https://apps.facebook.com. Скорее всего, Facebook находится в белом списке Microsoft Edge, чтобы поддерживать большую коллекцию устаревших Flash-игр социальной сети. Для любого другого виджета Flash, на любом другом веб-сайте, Edge соблюдает свою политику по умолчанию "click-to-play", это означает, что веб-сайтам не разрешается запускать Flash без разрешения пользователей, что обычно соответствует включению выполнения Flash с помощью значка в адресной строке.
Комментируя в Твиттере, исследователь безопасности из Google высказал свое недоумение о том, как и кто управлял белым списком, и вообще каким образом он появился. «Так, много сайтов, которых я полностью отказываюсь понимать, почему они там» - сказал Фратрик. Все-таки нтересно, как же был сформирован этот список, если Центр реагирования безопасности Microsoft наверняка знал об этом.
Когда мы обратились за комментариями, представитель Facebook сказал, что они не требовали от Microsoft войти в белый список, и что они попросили Microsoft удалить домены Facebook из списка. Microsoft, с другой стороны, не ответила напрямую на наши вопросы, касающиеся белого списка, заявив о предстоящем удалении Flash из Edge. «Мы приближаемся к тому моменту, когда Flash больше не является частью возможностей Microsoft Edge по умолчанию на каком-либо сайте, и недавние изменения в феврале стали следующим шагом в плане перехода», - сказали в компании.
Компания Adobe и другие крупнейшие производители браузеров настроены на постепенный отказ от использования Flash до конца 2020 года, в то время как Microsoft объявила о планах перевести Edge со своего запатентованного движка EdgeHTML на проект Chromium.
________________________________________________________________________________________________
Просмотров страницы:
0217
- Браузеры на основе ...
- Firefox
- Internet Explorer
- Chromium
- Google Chrome
- Flock
- RockMelt
- CoolNovo
- Maxthon
- Comodo Dragon
- Midori
- BlackHawk
- Uran
- Sleipnir
- Torch Browser
- QIP Surf
- Orbitum
- Amigo
- Интернет
- Нихром
- Яндекс.Браузер
- Opera
- Chromodo Browser
- Cốc Cốc Browser
- Epic Privacy Browser
- SRWare Iron
- Спутник
- Baidu Browser
- Brave
- Neuron
- 1st Browser
- Рамблер-Браузер
- Coowon Browser
- Vivaldi
- Citrio
- AOL Shield Browser
- Tesla Browser
- Slimjet
- CentBrowser
- Mustang Browser
- Комета
- UC Browser
- Maelstrom
- Superbird
- AOL Desktop
- Aviator
- Andy Browser
