Реклама
Навигация
Календарь
Ноябрь 2019
Пн Вт Ср Чт Пт Сб Вс
« Окт    
 123
45678910
11121314151617
18192021222324
252627282930  

Интересное

Скрытый файл в Edge позволяет Facebook без разрешения пользователей запускать Flash-контент

Скрытый файл в Edge позволяет Facebook без разрешения пользователей запускать Flash-контент

Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент.

«В Microsoft Windows есть файл C:\Windows\system32\edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения пользователя загружать Flash-контент в Microsoft Edge», – сообщил Фратрик.

Исследователь выявил уязвимость в ноябре прошлого года. В то время список для Windows 10 (версия 1803) состоял из хешей sha256 пятидесяти восьми доменов. Фратрику удалось расшифровать и получить названия пятидесяти шести из них.

Microsoft частично исправила проблему с выходом февральских обновлений безопасности, оставив в текущей версии списка доменов, которым позволено обходить политики безопасности, только два домена Facebook (www.facebook.com и apps.facebook.com). Производитель также добавил поддержку HTTPS как обязательное требование для всех вносимых в список доменов с целью предотвращения атак «человек посередине».

Почему домены шифруются и почему Facebook по-прежнему в списке – вопросы, ответ на которые знает только Microsoft.

Оставить комментарий

Вы должны авторизоваться для отправки комментария.