ผู้ใช้เว็บเบราว์เซอร์ของ Microsoft Edge ใช้ไวท์ลิสต์ Flash ที่เป็นความลับซึ่งอนุญาตให้เนื้อหา Flash ทำงานโดยไม่ต้องคลิกเพื่อป้องกันการเล่นบนเว็บไซต์ที่รวมไว้
Microsoft Edge เบราว์เซอร์เริ่มต้นของระบบปฏิบัติการ Windows 10 ของ Microsoft รองรับ Adobe Flash Flash ถูกตั้งค่าให้คลิกเพื่อเล่นในเบราว์เซอร์และผู้ใช้อาจปิดใช้งาน Flash ทั้งหมดในการตั้งค่าของเบราว์เซอร์
Microsoft ออกการอัปเดต Flash เป็นประจำในวันที่แก้ไขรายเดือนของ บริษัท เพื่อแก้ไขปัญหาความปลอดภัยที่ค้นพบใน Flash
เมื่อไม่นานมานี้ไมโครซอฟท์ได้ดำเนินการรายการที่อนุญาตของ Flash ที่อนุญาตให้เนื้อหา Flash ทำงานบน 58 โดเมนที่แตกต่างกันโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ ไซต์ในรายการนั้นรวมถึง Deezer, Facebook, พอร์ทัล MSN, Yahoo หรือ QQ แต่ยังมีรายการที่ไม่จำเป็นต้องคาดหวังในรายการเช่นร้านทำผมภาษาสเปน
Microsoft จำกัด รายการใน Patch Tuesday ของเดือนนี้อัพเดตเป็นเพียงสองรายการใน Facebook และบังคับใช้การใช้ HTTPS สำหรับไซต์เหล่านี้หลังจากวิศวกร Google ยื่นรายงานข้อผิดพลาดกับ บริษัท ในปลายปี 2018
Microsoft ทำให้รายการสับสนและวิศวกร Google ต้องถอดรหัสโดยใช้พจนานุกรมชื่อโดเมนที่เป็นที่รู้จักและเป็นที่นิยม
ตามรายงานข้อผิดพลาดเนื้อหาแฟลชได้รับอนุญาตให้โหลดหากโฮสต์บนโดเมนที่ได้รับอนุญาตพิเศษหรือองค์ประกอบแฟลชมีขนาดใหญ่กว่า 398x298 พิกเซล
ผู้โจมตีสามารถใช้ประโยชน์จากรายการเพื่อเลี่ยงการคลิกเพื่อเล่นนโยบายทั้งหมดหรือใช้ช่องโหว่ XSS ในบางเว็บไซต์ที่รวมอยู่ Microsoft Edge ใช้ Flash click เพื่อเล่นนโยบายในเว็บไซต์อื่น ๆ ทั้งหมด ผู้ใช้ต้องอนุญาตให้มีการเรียกใช้เนื้อหา Flash ใน Microsoft Edge บนไซต์ที่ไม่ใช่รายการที่ปลอดภัย
มันไม่ชัดเจนว่าทำไม Microsoft เพิ่มบัญชีขาว; เป็นไปได้ว่าจะทำเช่นนั้นเพื่อปรับปรุงความเข้ากันได้ในเว็บไซต์ที่เลือก แม้ว่าจะเหมาะสมสำหรับไซต์สำคัญ ๆ เช่น Flashbook ที่ยังคงโฮสต์เนื้อหา Flash แต่ก็ไม่ชัดเจนว่า Microsoft ใช้พารามิเตอร์ใดในการสร้างรายการ
รายการมีบางไซต์อาร์เคดที่โฮสต์เกมแฟลช แต่ไม่แสดงไซต์อาร์เคดยอดนิยมที่เท่ากันซึ่งโฮสต์เกมแฟลช มันทำให้งงว่าบางไซต์อยู่ในรายชื่อในขณะที่บางเว็บไซต์ไม่อยู่ เป็นไปได้ว่ามีการเพิ่มบางเว็บไซต์
เราติดต่อ Microsoft เพื่อรับความคิดเห็น แต่ยังไม่ได้รับการตอบกลับ เราจะอัปเดตบทความหากมีข้อมูลเพิ่มเติมสว่าง
ปิดคำ
เป็นเรื่องน่างงงวยที่ Microsoft จะเพิ่ม Flash whitelist ลงในเบราว์เซอร์ Edge เนื่องจาก Microsoft ไม่เคยล้มเหลวในการเน้นคุณสมบัติความปลอดภัยของ Edge การอนุญาตให้ไซต์เรียกใช้เนื้อหา Flash โดยไม่ได้รับอนุญาตจากผู้ใช้นั้นเป็นปัญหาอย่างมากจากมุมมองด้านความปลอดภัยแม้กระทั่งบนไซต์ยอดนิยม
การควบคุมและไม่เปิดเผยความจริงให้กับผู้ใช้นั้นเป็นปัญหาอย่างมากไม่เพียง แต่จากมุมมองด้านความปลอดภัยเท่านั้น
ตอนนี้คุณ : อะไรคือสิ่งที่คุณทำกับเรื่องนี้?
