Facebook の Edge に秘密の扉が開いているため、ユーザーが気付かないうちに Flash を実行できます
目次:
データのプライバシーについて心配していますか? 曲線が近づいているので、しばらくお待ちください。セキュリティ研究者が、Microsoft の Web ブラウザ Edge に影響を与える欠陥を発見しました。ホットフィックスが Chromium ベースのレンダリング エンジンに移行するのを待っている間、問題は Edge に残ります。
アラートは、他の場合と同様に、アプリケーションとオペレーティング システムのバグとギャップの調査と検出を担当する部門である Google Project Zero から送信されます。この場合、Ivan Fratric (@ifsecure) は Edge のバグを検出しました Flash コードの実行を可能にするユーザーが知らないうちに .
フラッシュ用フリーバー
背景を知るために、2018 年末までさかのぼる必要があります。Google Project Zero から 彼らはホワイト リストを発見しました (ホワイトリスト)エッジ。これは、電話番号の代わりに Web サービスを使用することを除いて、_スマートフォン_で使用できるリストと同じように機能するリストです。
合計で、このリストは私たちのチームに無料でアクセスできるようにし、あらゆる種類の最大 58 の Web サイト Adobe Flash に基づくコードを実行できるようにしました もちろん、これはすべて、影響を受ける当事者がそれを知ることなく行われます。それが問題でした。
Microsoft はこの問題に気づき、Edge にパッチを当て、問題の根本に取り組みましたが、すべての脅威を排除することはできませんでした彼らは、Flash を実行する権限がまだある 2 つの Web サイトを保持しました。そして、彼らは両方ともFacebookの影響下にありました.これらは 2 つの特権ドメインです:"
- https://www.facebook.com
- https://apps.facebook.com
これは、Flash で実行され、これらのドメインのいずれかに含まれるウィジェットは、Microsoft のセキュリティ対策に違反する可能性があることを意味しますさらに、 Fratric 自身は、Edge が誇る clicktorun ポリシーが回避され、コンピュータへのアクセスの制御がユーザーに許可されるという新しいリスクを発見しました。これは、このタイプのサービスの実行を許可または拒否できるものです。これらのドメインによって、または MITM (Man In The Middle) 攻撃によっても Flash コードが実行される可能性があるため、重要なセキュリティ ホールです。"
Web サイトの通知によると、_Windows 10 Creators Update 以降、Microsoft Edge でブラウジング中に Flash コンテンツを読み込もうとする Web サイトにアクセスすると、Web サイトの特定の部分が読み込まれないことに気付く場合があります。期待どおりに正しく動作しません。この予期しない動作は、Flash の Click-to-Run_ 機能により、デフォルトで Flash がブロックされた結果である可能性があります。 理論的には、このように動作するはずです"
A Nail to Edge
この事実は、ユーザーデータのセキュリティと完全性が危険にさらされていることを意味するため、特に深刻です。ところで、これは、この種の慣行の不正使用に対抗する Edge のセキュリティ ポリシーと矛盾しています。
"これは このような行動は Edge に不利益をもたらしますWindows 10 2019 年 10 月に新しい Edge を更新すると、死亡日が現実になります。"
Via | ZDNet 表紙画像 | iAmMrRob
