信息
Edge 是 Windows 10 中内置的 Microsoft 浏览器,包含一个无需用户许可即可运行 Flash 代码的网站白名单。
截至 2 月份,该列表包含了 58 个站点条目,其中包括 Microsoft、Deezer、Yahoo 甚至中国社交网络 QQ 的子域。最令人惊讶的事情是西班牙美发师网站的出现,这让人想知道这个列表的构成背后的想法:https://dgestilistas.es/。
https://twitter.com/ifsecure/status/1097875798487433218
它意味着什么
因此,这些不同的网站有权规避点击播放,它规定网站上的 Flash 内容只有在用户明确授权的情况下才能运行。
谷歌零号项目安全研究员 Ivan Fratric 发现了这个白名单,并于去年 11 月报告了该漏洞,他认为这会带来很大的安全问题,因为已知一些预授权站点存在 XSS 漏洞(针对跨站点脚本、一种允许将恶意代码注入页面的漏洞)。这可能会导致执行危险的 Flash 代码并污染使用 Edge 的机器。
现在,微软已将白名单减少到只有两个 Facebook 域,即主站点及其子域apps.facebook.com。安全研究人员质疑 Facebook 是否有必要维持危险的特权。毫无疑问,这是为了允许执行社交平台上存在的众多 Flash 游戏。
背景
闪存技术由于将于2020年部分或半永久退役,在安全性方面受到广泛批评。这是一个真正的缺陷巢穴,应尽可能避免日常使用。浏览器默认会阻止执行。
另请阅读:
Firefox 69最终将禁用Adobe Flash插件
Chrome 69:谷歌浏览器埋葬了 Flash……多一点
