Microsoft의 Edge 웹 브라우저 사용자는 포함 된 사이트를 보호하기 위해 클릭하지 않고 Flash 내용을 실행할 수있는 비밀 Flash 화이트리스트입니다.
Microsoft Windows 10 운영 체제의 기본 브라우저 인 Microsoft Edge는 기본적으로 Adobe Flash를 지원합니다. 브라우저에서 플래시를 클릭하여 재생하도록 설정되어 있으며 사용자는 브라우저 설정에서 플래시를 완전히 사용 중지 할 수 있습니다.
Microsoft는 회사의 월별 패치 당일에 Flash 업데이트를 정기적으로 릴리스하여 Flash에서 발견 된 보안 문제를 해결합니다.
최근 Microsoft는 사용자의 상호 작용없이 58 개의 서로 다른 도메인에서 Flash 내용을 실행할 수있는 Flash 화이트리스트를 구현했습니다. 이 목록의 사이트에는 Deezer, Facebook, MSN 포털, Yahoo 또는 QQ뿐만 아니라 스페인어 미용실과 같은 목록에서 반드시 예상하지 못한 항목도 포함되었습니다.
Microsoft는 이번 달 패치 화요일 업데이트 목록을 두 개의 Facebook 항목으로 제한하고 Google 엔지니어가 2018 년 말 회사에 버그 보고서를 제출 한 후 이러한 사이트에 HTTPS를 사용하도록 강제했습니다.
Microsoft는 목록을 난독 처리했으며 Google 엔지니어는 잘 알려진 인기있는 도메인 이름 사전을 사용하여 목록을 해독해야했습니다.
버그 보고서에 따르면, 허용 된 도메인 중 하나에서 호스팅되거나 Flash 요소가 398x298 픽셀보다 큰 경우 Flash 컨텐츠를로드 할 수 있습니다.
공격자는이 목록을 악용하여 클릭 투 정책을 완전히 우회하거나 포함 된 일부 사이트에서 XSS 취약성을 사용할 수 있습니다. Microsoft Edge는 다른 모든 사이트에서 정책을 재생하기 위해 Flash 클릭을 존중합니다. 허용되지 않은 사이트의 Microsoft Edge에서 Flash 내용을 실행하도록 허용해야합니다.
Microsoft가 화이트리스트를 추가 한 이유는 확실하지 않습니다. 특정 사이트의 호환성을 향상시키기 위해 그렇게 할 수 있습니다. 그래도 Flash 컨텐츠를 호스팅하는 Flashbook과 같은 주요 사이트에서는 의미가 있지만 Microsoft가 목록을 작성하는 데 사용한 매개 변수는 확실하지 않습니다.
이 목록에는 Flash 게임을 호스팅하는 일부 아케이드 사이트가 있지만 Flash 게임을 호스팅하는 인기있는 아케이드 사이트는 표시하지 않습니다. 일부 사이트는 목록에 있지만 다른 사이트는 목록에없는 것이 당황 스럽습니다. 일부 사이트가 추가되었을 수 있습니다
의견을 위해 Microsoft에 문의했지만 아직 듣지 못했습니다. 추가 정보가 밝혀지면 기사를 업데이트합니다.
닫는 단어
Microsoft가 Edge의 보안 기능을 강조하지 않는 것을 고려할 때 Microsoft가 Edge 화이트리스트를 Edge 브라우저에 추가하는 것은 당혹스러운 일입니다. 사용자 권한없이 사이트에서 Flash 내용을 실행하도록 허용하는 것은 인기있는 사이트에서도 보안 관점에서 문제가됩니다.
통제권을 빼앗고 사실을 사용자에게 공개하지 않는 것은 보안 관점뿐만 아니라 신뢰에 있어서도 큰 문제가됩니다.
Now You : 이것에 대해 어떻게 생각하십니까?
