資訊
Edge 是 Windows 10 內建的 Microsoft 瀏覽器,包含一個無需使用者許可即可執行 Flash 程式碼的網站白名單。
截至 2 月份,該清單包含了 58 個網站條目,其中包括 Microsoft、Deezer、Yahoo 甚至中國社交網路 QQ 的子網域。最令人驚訝的事情是西班牙美髮師網站的出現,這讓人想知道這個清單的構成背後的想法:https://dgestilistas.es/。
https://twitter.com/ifsecure/status/1097875798487433218
它意味著什麼
因此,這些不同的網站有權規避點擊播放,它規定網站上的 Flash 內容只有在使用者明確授權的情況下才能運作。
谷歌零號計畫安全研究員Ivan Fratric 發現了這個白名單,並在去年11 月報告了該漏洞,他認為這會帶來很大的安全問題,因為已知一些預授權站點存在XSS 漏洞(針對跨站點腳本、一種允許將惡意程式碼注入頁面的漏洞)。這可能會導致執行危險的 Flash 程式碼並污染使用 Edge 的機器。
現在,微軟已將白名單減少到只有兩個 Facebook 網域,即主網站及其子網域apps.facebook.com。安全研究人員質疑 Facebook 是否有必要維持危險的特權。毫無疑問,這是為了允許執行社交平台上存在的眾多 Flash 遊戲。
背景
快閃記憶體技術由於將於2020年部分或半永久退役,在安全性方面受到廣泛批評。這是一個真正的缺陷巢穴,應盡可能避免日常使用。瀏覽器預設會阻止執行。
另請閱讀:
Firefox 69最終將停用Adobe Flash插件
Chrome 69:Google瀏覽器埋藏了 Flash…多一點
