Το Facebook έχει μια μυστική πόρτα ανοιχτή στο Edge που του επιτρέπει να τρέχει Flash χωρίς να το γνωρίζει ο χρήστης
Πίνακας περιεχομένων:
Ανησυχείτε για το απόρρητο των δεδομένων σας; Λοιπόν, περιμένετε καθώς έρχονται οι καμπύλες. Ένας ερευνητής ασφάλειας ανακάλυψε ένα ελάττωμα που επηρεάζει το πρόγραμμα περιήγησης ιστού της Microsoft, Edge. Ενώ περιμένετε μια επείγουσα επιδιόρθωση για να κάνετε το άλμα στη μηχανή απόδοσης που βασίζεται στο Chromium, τα προβλήματα παραμένουν για το Edge.
Η ειδοποίηση, όπως και σε άλλες περιπτώσεις, προέρχεται από το Google Project Zero, ένα τμήμα που είναι υπεύθυνο για τη διερεύνηση και τον εντοπισμό σφαλμάτων και κενών σε εφαρμογές και λειτουργικά συστήματα. Και σε αυτήν την περίπτωση ο Ivan Fratric, (@ifsecure), εντόπισε ένα σφάλμα στο Edge που επιτρέπει την εκτέλεση κώδικα Flash χωρίς ο χρήστης να το γνωρίζει .
Δωρεάν γραμμή για Flash
Για να έχουμε κάποιο ιστορικό, πρέπει να ταξιδέψουμε πίσω στο χρόνο στο τέλος του 2018. Από το Google Project Zero ανακάλυψαν μια λευκή λίστα(λευκή λίστα ) στο Edge. Είναι μια λίστα που λειτουργεί όπως αυτή που μπορούμε να χρησιμοποιήσουμε στα _smartphones_, με τη διαφορά ότι αντί να χρησιμοποιεί αριθμούς τηλεφώνου χρησιμοποιεί υπηρεσίες web.
Συνολικά, αυτή η λίστα έδωσε στις ομάδες μας δωρεάν πρόσβαση, έτσι ώστε έως και 58 ιστότοποι όλων των ειδών μπορούσαν να εκτελούν κώδικα με βάση το Adobe Flashκαι όλα αυτά φυσικά χωρίς να το γνωρίζει ο θιγόμενος. Αυτό ήταν το πρόβλημα.
Η Microsoft ενημερώθηκε για το πρόβλημα, ο Edge διορθώθηκε και παρόλο που αντιμετώπισαν τη ρίζα του προβλήματος, δεν κατάφεραν να εξαλείψουν όλες τις απειλέςΔιατήρησαν δύο ιστότοπους που είχαν ακόμα δικαιώματα για εκτέλεση Flash.Και ήταν και οι δύο υπό την επιρροή του Facebook. Αυτοί είναι οι δύο προνομιούχοι τομείς:"
- https://www.facebook.com
- https://apps.facebook.com
Αυτό σημαίνει ότι κάθε γραφικό στοιχείο που εκτελείται σε Flash και περιλαμβάνεται σε οποιονδήποτε από αυτούς τους τομείς, μπορεί να παραβιάζει τα μέτρα ασφαλείας της MicrosoftΕπιπλέον, Ο ίδιος ο Fratric ανακάλυψε έναν νέο κίνδυνο μέσω του οποίου θα μπορούσε να παρακαμφθεί η πολιτική clicktorun που μπορεί να υπερηφανεύεται για τον Edge και που παρέχει τον έλεγχο της πρόσβασης στον υπολογιστή στον χρήστη. Αυτός είναι αυτός που μπορεί να παραδεχθεί ή να αρνηθεί την εκτέλεση αυτού του τύπου υπηρεσιών. Ένα σημαντικό κενό ασφαλείας, καθώς ο κώδικας Flash θα μπορούσε να εκτελεστεί είτε από αυτούς τους τομείς είτε ακόμη και μέσω επίθεσης MITM (Man In The Middle)."
Σύμφωνα με την ειδοποίηση στον ιστότοπο, _όταν επισκέπτεστε έναν ιστότοπο που προσπαθεί να φορτώσει περιεχόμενο Flash κατά την περιήγησή σας με τον Microsoft Edge ξεκινώντας με το Windows 10 Creators Update, ενδέχεται να παρατηρήσετε ότι ορισμένες πτυχές του ιστότοπου δεν δεν λειτουργεί σωστά με τον τρόπο που περιμένετε. Αυτή η απροσδόκητη συμπεριφορά μπορεί να είναι αποτέλεσμα αποκλεισμού του Flash από προεπιλογή λόγω της δυνατότητας Flash Click-to-Run_. Θεωρητικά έτσι πρέπει να λειτουργεί"
Ένα καρφί στην άκρη
Αυτό το γεγονός είναι ιδιαίτερα σοβαρό, καθώς σημαίνει ότι η ασφάλεια και η ακεραιότητα των δεδομένων χρήστη τίθεται σε κίνδυνο. Και παρεμπιπτόντως, έρχεται σε αντίθεση με τις πολιτικές ασφαλείας της Edge, η οποία καταπολεμά τη δόλια χρήση αυτού του είδους πρακτικής.
"Είναι αξιολόγηση που κάνουν ενέργειες όπως αυτή στον Edge, έναν πλοηγό σε ευαίσθητη υγεία που ήδη βλέπει πώς η Microsoft έχει ορίσει ημερομηνία θανάτου όταν στα Windows 10 Οκτωβρίου 2019 Η ενημέρωση του νέου Edge είναι πραγματικότητα."
Μέσω | Εικόνα εξωφύλλου ZDNet | iAmMrRob
