Facebook มีประตูลับเปิดใน Edge ที่อนุญาตให้เรียกใช้ Flash โดยที่ผู้ใช้ไม่รู้ตัว

คุณกังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูลของคุณหรือไม่ เดี๋ยวก่อนเส้นโค้งกำลังมา นักวิจัยด้านความปลอดภัยได้ค้นพบข้อบกพร่องที่ส่งผลกระทบต่อเว็บเบราว์เซอร์ Edge ของ Microsoft ขณะที่รอโปรแกรมแก้ไขด่วนเพื่อข้ามไปยังเอ็นจิ้นการเรนเดอร์ที่ใช้ Chromium ปัญหายังคงอยู่สำหรับ Edge

การแจ้งเตือนดังกล่าวมาจาก Google Project Zero แผนกที่รับผิดชอบในการตรวจสอบและตรวจหาจุดบกพร่องและช่องว่างในแอปพลิเคชันและระบบปฏิบัติการ และในกรณีนี้ Ivan Fratric (@ifsecure) ได้ตรวจพบข้อบกพร่องใน Edge ที่ อนุญาตให้ใช้โค้ด Flash ได้ โดยที่ผู้ใช้ไม่ทราบ

แถบฟรีสำหรับแฟลช

เพื่อให้ได้เบื้องหลัง เราต้องย้อนเวลากลับไปปลายปี 2018 จาก Google Project Zero พวกเขาค้นพบ white list(รายการสีขาว ) ใน Edge เป็นรายการที่ทำงานเหมือนกับรายการที่เราสามารถใช้บน _smartphones_ ยกเว้นว่าแทนที่จะใช้หมายเลขโทรศัพท์ จะใช้บริการเว็บ

โดยรวมแล้ว รายการนี้ทำให้ทีมของเราเข้าถึงได้ฟรี มากถึง 58 เว็บไซต์ทุกประเภท สามารถรันโค้ดบน Adobe Flash และทั้งหมดนี้ แน่นอน โดยที่ฝ่ายที่ได้รับผลกระทบไม่รู้เรื่องนี้เลย นั่นคือปัญหา

"

Microsoft ได้รับความสนใจจากปัญหา Edge ได้รับการแก้ไขแล้ว และแม้ว่าพวกเขาจะจัดการกับต้นตอของปัญหา พวกเขาก็ไม่สามารถกำจัดภัยคุกคามทั้งหมดได้พวกเขายืนยันสองเว็บไซต์ที่ยังคงได้รับอนุญาตให้เรียกใช้ Flashและทั้งคู่ตกอยู่ภายใต้อิทธิพลของ Facebook โดเมนที่มีสิทธิพิเศษสองโดเมนเหล่านี้คือ:"

• https://www.facebook.com
• https://apps.facebook.com

"

ซึ่งหมายความว่าวิดเจ็ตใดๆ ที่ทำงานบน Flash และรวมอยู่ในโดเมนใดๆ เหล่านี้ สามารถละเมิดมาตรการรักษาความปลอดภัยของ Microsoftนอกจากนี้ Fratric เองค้นพบความเสี่ยงใหม่ซึ่งนโยบาย clicktorun ที่ Edge นำเสนออาจถูกหลีกเลี่ยงและให้สิทธิ์ในการควบคุมการเข้าถึงคอมพิวเตอร์แก่ผู้ใช้ นี่คือสิ่งที่สามารถยอมรับหรือปฏิเสธการดำเนินการของบริการประเภทนี้ ช่องโหว่ด้านความปลอดภัยที่สำคัญ เนื่องจากรหัส Flash อาจถูกดำเนินการโดยโดเมนเหล่านี้ หรือแม้แต่ผ่านการโจมตีแบบ MITM (Man In The Middle)"

"

ตามประกาศบนเว็บไซต์ _เมื่อคุณเยี่ยมชมเว็บไซต์ที่พยายามโหลดเนื้อหา Flash ขณะเรียกดูด้วย Microsoft Edge ที่เริ่มต้นด้วย Windows 10 Creators Update คุณอาจสังเกตเห็นว่าบางส่วนของเว็บไซต์ไม่&39; ทำงานไม่ถูกต้องตามที่คุณคาดหวัง ลักษณะการทำงานที่ไม่คาดคิดนี้อาจเป็นผลมาจากการที่ Flash ถูกบล็อกโดยค่าเริ่มต้นเนื่องจากคุณสมบัติ Flash Click-to-Run_ ในทางทฤษฏีควรเป็นวิธีการทำงาน"

A Nail to Edge

ข้อเท็จจริงนี้ร้ายแรงเป็นพิเศษ เนื่องจากหมายความว่า ความปลอดภัยและความสมบูรณ์ของข้อมูลผู้ใช้อยู่ในความเสี่ยง และอย่างไรก็ตาม มันขัดแย้งกับนโยบายความปลอดภัยของ Edge ซึ่งต่อสู้กับการใช้แนวปฏิบัติประเภทนี้อย่างฉ้อฉล

"

มันคือ ความหายนะที่การกระทำเช่นนี้ทำกับ Edge ผู้นำทางด้านสุขภาพที่บอบบางซึ่งเห็นแล้วว่า Microsoft ได้ตั้งค่า วันตายเมื่อ Windows 10 ตุลาคม 2562 อัปเดต Edge ใหม่เป็นจริงแล้ว"

Via | ภาพหน้าปก ZDNet | iAmMrRob