Microsoft: Edge อนุญาตให้ Facebook เรียกใช้โค้ด Flash โดยไม่ได้รับอนุญาตจากคุณ

ข้อมูล

Edge ซึ่งเป็นเบราว์เซอร์ของ Microsoft ที่ติดตั้งใน Windows 10 มีรายการไซต์ที่อนุญาตพิเศษที่สามารถเรียกใช้โค้ด Flash โดยที่ผู้ใช้ไม่จำเป็นต้องให้สิทธิ์

จนถึงเดือนกุมภาพันธ์ รายการนี้มี 58 รายการสำหรับไซต์จำนวนมาก รวมถึงโดเมนย่อยของ Microsoft, Deezer, Yahoo และแม้แต่ QQ ซึ่งเป็นโซเชียลเน็ตเวิร์กของจีน สิ่งที่น่าประหลาดใจที่สุด และที่ทำให้เกิดความสงสัยเกี่ยวกับแนวคิดเบื้องหลังการจัดองค์ประกอบของรายการนี้ คือการมีอยู่ของเว็บไซต์ของช่างทำผมชาวสเปน:https://dgestilitas.es/-

https://twitter.com/ifsecure/status/1097875798487433218

มันหมายถึงอะไร

เว็บไซต์ต่างๆ เหล่านี้จึงได้รับอนุญาตให้หลีกเลี่ยงนโยบายของคลิกเพื่อเล่นซึ่งระบุว่าเนื้อหา Flash บนเว็บไซต์สามารถทำงานได้เฉพาะเมื่อผู้ใช้อนุญาตอย่างชัดเจนเท่านั้น

Ivan Fratric นักวิจัยด้านความปลอดภัยของ Google Project Zero ซึ่งค้นพบรายการที่อนุญาตนี้และรายงานข้อผิดพลาดเมื่อเดือนพฤศจิกายนปีที่แล้ว เชื่อว่าสิ่งนี้ก่อให้เกิดปัญหาด้านความปลอดภัยครั้งใหญ่ เนื่องจากไซต์ที่ได้รับอนุญาตล่วงหน้าบางแห่งเป็นที่รู้กันว่าประสบปัญหาช่องโหว่ XSS (สำหรับการเขียนสคริปต์ข้ามไซต์ ประเภทของช่องโหว่ที่ทำให้สามารถแทรกโค้ดที่เป็นอันตรายลงในเพจได้) สิ่งนี้อาจนำไปสู่การเรียกใช้โค้ด Flash ที่เป็นอันตรายและการปนเปื้อนของเครื่องที่ใช้ Edge

ขณะนี้ Microsoft ได้ลดไวท์ลิสต์เหลือเพียงโดเมน Facebook สองโดเมน ซึ่งเป็นไซต์หลักและโดเมนย่อยแอพพลิเคชั่น.facebook.com- นักวิจัยด้านความปลอดภัยตั้งคำถามถึงความจำเป็นในการรักษาสิทธิพิเศษที่เป็นอันตรายสำหรับ Facebook ไม่ต้องสงสัยเลยว่านี่จะช่วยให้สามารถเล่นเกม Flash มากมายบนแพลตฟอร์มโซเชียลได้

บริบท

เทคโนโลยีแฟลชเนื่องจากจะเกษียณบางส่วนหรือกึ่งถาวรในปี 2563 จึงถูกวิพากษ์วิจารณ์อย่างกว้างขวางในเรื่องความปลอดภัย มันเป็นรังข้อบกพร่องที่แท้จริงซึ่งควรหลีกเลี่ยงการใช้งานประจำวันให้มากที่สุด เบราว์เซอร์มีแนวโน้มที่จะบล็อกการดำเนินการตามค่าเริ่มต้น

อ่านเพิ่มเติม:
Firefox 69 จะปิดการใช้งานปลั๊กอิน Adobe Flash ในที่สุด
Chrome 69: เบราว์เซอร์ของ Google ฝัง Flash... เพิ่มเติมอีกเล็กน้อย

🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-