Facebook은 사용자 모르게 Flash를 실행할 수 있도록 Edge에 비밀 문을 열었습니다.
차례:
데이터의 개인 정보 보호가 걱정되십니까? 곡선이 올 때 잘 버티십시오. 한 보안 연구원이 Microsoft의 웹 브라우저인 Edge에 영향을 미치는 결함을 발견했습니다. Chromium 기반 렌더링 엔진으로 점프하기 위한 핫픽스를 기다리는 동안 Edge에 대한 문제가 남아 있습니다.
알림은 다른 경우와 마찬가지로 애플리케이션 및 운영 체제의 버그와 격차를 조사하고 감지하는 부서인 Google Project Zero에서 나옵니다. 그리고 이 경우 Ivan Fratric(@ifsecure)은 Edge에서 Flash 코드를사용자가 알지 못하는 사이에 허용하는 버그를 발견했습니다.
플래시용 무료 바
배경 정보를 얻으려면 2018년 말로 시간을 거슬러 올라가야 합니다. Google Project Zero에서 화이트리스트를 발견했습니다.Edge에서 (화이트리스트). 전화번호를 사용하는 대신 웹 서비스를 사용한다는 점을 제외하면 _스마트폰_에서 사용할 수 있는 것과 동일하게 작동하는 목록입니다.
합계적으로 이 목록은 모든 종류의 최대 58개 웹사이트가 Adobe Flash 기반 코드를 실행할 수 있도록 팀에 무료 액세스를 제공했습니다.물론 이 모든 것은 영향을 받는 당사자가 알지 못하는 사이에 발생합니다. 그것이 문제였습니다.
Microsoft는 문제에 주목했고 Edge는 패치되었으며 문제의 근원을 해결했지만 모든 위협을 제거할 수는 없었습니다.그들은 여전히 Flash를 실행할 수 있는 권한이 있는 두 개의 웹 사이트를 유지했습니다.그리고 둘 다 Facebook의 영향을 받았습니다. 다음은 두 개의 특권 도메인입니다."
- https://www.facebook.com
- https://apps.facebook.com
이는 Flash에서 실행되고 이러한 도메인에 포함된 모든 위젯이 Microsoft의 보안 조치를 위반할 수 있음을 의미합니다.또한 Fratric은 Edge가 자랑하는 clicktorun 정책을 우회할 수 있고 사용자에게 컴퓨터에 대한 액세스 제어 권한을 부여할 수 있는 새로운 위험을 발견했습니다. 이것은 이러한 유형의 서비스 실행을 승인하거나 거부할 수 있는 것입니다. Flash 코드는 이러한 도메인 또는 MITM(Man In The Middle) 공격을 통해서도 실행될 수 있기 때문에 중요한 보안 허점입니다."
웹사이트 공지에 따르면 _Windows 10 크리에이터스 업데이트부터 Microsoft Edge로 탐색하는 동안 Flash 콘텐츠를 로드하려고 하는 웹사이트를 방문하면 웹사이트의 특정 부분이 예상대로 제대로 작동하지 않습니다. 이 예기치 않은 동작은 Flash Click-to-Run_ 기능으로 인해 Flash가 기본적으로 차단된 결과일 수 있습니다. 이론적으로 이것이 작동하는 방식이어야 합니다."
A Nail to Edge
이 사실은 사용자 데이터의 보안 및 무결성이 위험에 처해 있음을 의미하므로 특히 심각합니다. 그건 그렇고, 이러한 유형의 관행의 사기성 사용에 맞서 싸우는 Edge의 보안 정책에 위배됩니다.
"이와 같은 행동이 Edge에 해를 끼치는 것은 입니다. 2019년 10월 Windows 10에서 사망 날짜 새로운 Edge 업데이트가 현실입니다."
통해 | ZDNet 표지 이미지 | iAmMrRob
