לפייסבוק יש דלת סודית פתוחה ב-Edge המאפשרת לה להפעיל פלאש מבלי שהמשתמש יידע
תוכן עניינים:
האם אתה מודאג לגבי הפרטיות של הנתונים שלך? ובכן, תחזיק מעמד כשהעקומות מתקרבות. חוקר אבטחה גילה פגם המשפיע על דפדפן האינטרנט של מיקרוסופט, Edge. בזמן ההמתנה לתיקון חם שיבצע את הקפיצה למנוע העיבוד מבוסס Chromium, נותרו בעיות ב-Edge.
ההתראה, כמו בהזדמנויות אחרות, מגיעה מ-Google Project Zero, מחלקה שאחראית על חקירה ואיתור באגים ופערים ביישומים ומערכות הפעלה. ובמקרה הזה Ivan Fratric, (@ifsecure), זיהה באג ב-Edge ש מאפשר להפעיל קוד Flash מבלי שהמשתמש ידע על כך.
Free Bar for Flash
כדי לקבל קצת רקע, עלינו לחזור אחורה בזמן לסוף 2018. מ-Google Project Zero הם גילו רשימה לבנה(רשימה לבנה) ב-Edge. זוהי רשימה שפועלת כמו זו שאנו יכולים להשתמש ב-_סמארטפונים_, אלא שבמקום להשתמש במספרי טלפון היא משתמשת בשירותי אינטרנט.
בסך הכל, רשימה זו העניקה לצוותים שלנו גישה חופשית כך שעד 58 אתרי אינטרנט מכל הסוגים יכלו להריץ קוד המבוסס על Adobe Flashוכל זה, כמובן, מבלי שהצד המושפע ידע על כך. זו הייתה הבעיה.
מיקרוסופט הובאה לידיעת הבעיה, Edge תוקן ולמרות שהם התמודדו עם שורש הבעיה, הם לא הצליחו לחסל את כל האיומיםהם התמידו בשני אתרים שעדיין היו להם הרשאות להפעיל פלאש.ושניהם היו תחת השפעת פייסבוק. אלו הם שני הדומיינים המועדפים:"
- https://www.facebook.com
- https://apps.facebook.com
משמעות הדבר היא שכל ווידג&39;ט שפועל ב-Flash ונכלל בכל אחד מהדומיינים האלה, יכול להפר את אמצעי האבטחה של Microsoftבנוסף, Fratric עצמו גילה סיכון חדש שבאמצעותו ניתן לעקוף את מדיניות ה-clicktorun בה מתהדר Edge ואשר מעניקה למשתמש שליטה בגישה למחשב. זה זה שיכול להודות או להכחיש ביצוע של שירותים מסוג זה. חור אבטחה חשוב, שכן קוד Flash יכול להתבצע על ידי תחומים אלה או אפילו באמצעות מתקפת MITM (Man In The Middle)."
לפי ההודעה באתר, _כאשר אתה מבקר באתר שמנסה לטעון תוכן פלאש תוך כדי גלישה עם Microsoft Edge החל מ-Windows 10 Creators Update, ייתכן שתבחין שהיבטים מסוימים של האתר לא לעבוד כמו שצריך כמו שאתה מצפה. התנהגות בלתי צפויה זו עשויה להיות תוצאה של חסימת Flash כברירת מחדל עקב תכונת ה-Flash Click-to-Run_. בתיאוריה זה אמור להיות איך זה עובד"
A Nail to Edge
עובדה זו חמורה במיוחד, מכיוון שמשמעותה שהאבטחה והשלמות של נתוני המשתמש נמצאים בסיכון. ודרך אגב, זה סותר את מדיניות האבטחה של Edge, שנלחמת בשימוש הונאה בסוג זה של תרגול.
"זה רע שפעולות כאלה עושות ל-Edge, נווט במצב בריאותי עדין שכבר רואה איך מיקרוסופט הגדירה תאריך פטירה כאשר ב-Windows 10 אוקטובר 2019 עדכון ה-Edge החדש הוא מציאות."
Via | תמונת שער של ZDNet | iAmMrRob
