Facebook 在 Edge 中打开了一扇秘密之门，允许它在用户不知情的情况下运行 Flash

你担心数据的隐私吗？好吧，等曲线来了。一名安全研究人员发现了影响 Microsoft 网络浏览器 Edge 的漏洞。在等待修补程序跳转到基于 Chromium 的渲染引擎时，Edge 仍然存在问题。

与其他场合一样，该警报来自谷歌零项目，该部门负责调查和检测应用程序和操作系统中的错误和漏洞。在这种情况下，Ivan Fratric (@ifsecure) 检测到 Edge 中的一个错误，该错误allows Flash code to be executedwithout the user knowing it.

Flash的免费酒吧

为了了解一些背景，我们必须及时回到2018年底。从谷歌零项目他们发现了一个白名单 （白名单）在 Edge 中。这是一个与我们可以在_智能手机_上使用的列表相同的列表，不同之处在于它使用网络服务而不是电话号码。

总的来说，这个列表让我们的团队可以免费访问多达58个各种类型的网站可以运行基于Adobe Flash的代码当然，所有这一切都是在受影响的一方不知情的情况下发生的。就是这个问题

"

微软注意到了这个问题，Edge被打了补丁，尽管他们解决了问题的根源，他们无法消除所有的威胁他们保留了两个仍然有权运行Flash 的网站。他们都受到 Facebook 的影响。这是两个特权域："

• https://www.facebook.com
• https://apps.facebook.com

"

这意味着在Flash 上运行并包含在任何这些域中的任何小部件，都可能违反微软的安全措施此外， Fratric 自己发现了一个新的风险，通过该风险可以规避 Edge 所吹嘘的 clicktorun 策略，并将对计算机的访问控制权授予用户。这是一个可以承认或拒绝执行此类服务的人。一个重要的安全漏洞，因为 Flash 代码可以由这些域执行，甚至可以通过 MITM（中间人）攻击执行。"

"

根据网站上的通知，_当您访问一个试图在从 Windows 10 Creators Update 开始使用 Microsoft Edge 浏览时加载 Flash 内容的网站时，您可能会注意到该网站的某些方面没有无法按您期望的方式正常工作。这种意外行为可能是由于 Flash 即点即用功能默认阻止 Flash 的结果。 理论上应该是这样的"

A Nail to Edge

这一事实尤为严重，因为这意味着用户数据的安全性和完整性面临风险。顺便说一句，它与 Edge 的安全政策相矛盾，Edge 反对欺诈性使用这种做法。

"

这样的行为对Edge是一种伤害，一个身体虚弱的领航员，他已经看到了微软是如何设置的Windows 10 October 2019 Update 中的死亡日期是新的 Edge 成为现实。"

通过| ZDNet 封面图片 | iAmMrRob