資訊
Edge 是 Windows 10 中內置的 Microsoft 瀏覽器,包含一個無需用戶許可即可運行 Flash 代碼的網站白名單。
截至 2 月份,該列表包含了 58 個站點條目,其中包括 Microsoft、Deezer、Yahoo 甚至中國社交網絡 QQ 的子域。最令人驚訝的事情是西班牙美髮師網站的存在,這讓我們對這份列表的構成感到好奇:https://dgestilistas.es/。
https://twitter.com/ifsecure/status/1097875798487433218
它意味著什麼
因此,這些不同的網站有權規避政策點擊播放,它規定網站上的 Flash 內容只有在用戶明確授權的情況下才能運行。
谷歌零號項目安全研究員伊万·弗拉特里克(Ivan Fratric)去年11月發現了白名單並報告了該漏洞,他表示,這造成了很大的安全問題,因為已知一些預授權網站存在跨站腳本(XSS)漏洞,這種漏洞允許將惡意代碼注入到頁面中。這可能會導致執行危險的 Flash 代碼並污染使用 Edge 的機器。
現在,微軟已將白名單減少到只有兩個 Facebook 域,即主站點及其子域apps.facebook.com。安全研究人員質疑 Facebook 是否有必要維持危險的特權。毫無疑問,這是為了允許執行社交平台上存在的眾多 Flash 遊戲。
背景
由於將於2020年部分或半永久退役,在安全性方面受到廣泛批評。這是一個真正的缺陷巢穴,應盡可能避免日常使用。瀏覽器默認會阻止執行。
👉🏻實時關注科技新聞:將 01net 添加到您的來源Google,訂閱我們的頻道WhatsApp或通過視頻關注我們抖音。
