Người dùng trình duyệt web của Microsoft Edge sử dụng danh sách trắng Flash bí mật cho phép nội dung Flash chạy mà không cần nhấp để phát bảo vệ trên các trang web được bao gồm.
Microsoft Edge, trình duyệt mặc định của hệ điều hành Windows 10 của Microsoft, hỗ trợ Adobe Flash nguyên bản. Flash được đặt thành nhấp để phát trong trình duyệt và người dùng có thể tắt hoàn toàn Flash trong cài đặt của trình duyệt.
Microsoft phát hành bản cập nhật Flash thường xuyên vào ngày vá hàng tháng của công ty để khắc phục các sự cố bảo mật được phát hiện trong Flash.
Gần đây, Microsoft đã triển khai một danh sách trắng Flash cho phép nội dung Flash chạy trên 58 tên miền khác nhau mà không cần tương tác của người dùng. Các trang web trong danh sách đó bao gồm Deezer, Facebook, cổng thông tin MSN, Yahoo hoặc QQ nhưng cũng có những mục mà người ta không nhất thiết mong đợi trong danh sách như một tiệm làm tóc Tây Ban Nha.
Microsoft đã giới hạn danh sách trên bản cập nhật Patch thứ ba trong tháng này chỉ còn hai mục Facebook và bắt buộc sử dụng HTTPS cho các trang này sau khi một kỹ sư của Google nộp báo cáo lỗi với công ty vào cuối năm 2018.
Microsoft đã làm xáo trộn danh sách này và kỹ sư Google đã phải bẻ khóa nó bằng một từ điển các tên miền phổ biến và đã biết.
Theo báo cáo lỗi, nội dung Flash được phép tải nếu được lưu trữ trên một trong các tên miền được liệt kê trong danh sách trắng hoặc nếu phần tử Flash lớn hơn 398x298 pixel.
Kẻ tấn công có thể khai thác danh sách để bỏ qua nhấp để chơi chính sách hoàn toàn hoặc sử dụng lỗ hổng XSS trên một số trang web được bao gồm. Microsoft Edge tôn trọng nhấp chuột Flash để chơi chính sách trên tất cả các trang web khác. Người dùng cần cho phép thực thi nội dung Flash trong Microsoft Edge trên các trang web không có trong danh sách trắng.
Không rõ tại sao Microsoft thêm danh sách trắng; có thể là nó đã làm như vậy để cải thiện khả năng tương thích trên các trang web được chọn. Mặc dù điều đó có ý nghĩa trên các trang web lớn như Flashbook vẫn lưu trữ nội dung Flash, nhưng không rõ Microsoft đã sử dụng tham số nào để tạo danh sách.
Danh sách này có một số trang web arcade lưu trữ các trò chơi Flash, nhưng không liệt kê các trang web phổ biến tương tự cũng lưu trữ các trò chơi Flash. Điều khó hiểu là một số trang web nằm trong danh sách trong khi các trang web khác thì không. Có thể một số trang web đã được thêm vào
Chúng tôi đã liên hệ với Microsoft để nhận xét nhưng chưa nhận được phản hồi. Chúng tôi sẽ cập nhật bài viết nếu thông tin bổ sung được đưa ra ánh sáng.
Từ kết thúc
Điều khó hiểu là Microsoft sẽ thêm danh sách trắng Flash vào trình duyệt Edge của mình vì Microsoft không bao giờ thất bại trong việc làm nổi bật các tính năng bảo mật của Edge. Việc cho phép các trang web chạy nội dung Flash mà không có sự cho phép của người dùng rất có vấn đề từ quan điểm bảo mật ngay cả trên các trang web phổ biến.
Lấy đi quyền kiểm soát và không tiết lộ sự thật cho người dùng là vấn đề rất cao không chỉ từ quan điểm bảo mật mà còn cả khi tin tưởng.
Bây giờ bạn : bạn đang làm gì trên này?
