Microsoft Edge lader Facebook køre Flash uden brugertilladelse

Illustration: Adobe Systems Incorporated
Microsofts Edge-browser indeholder en hemmelig whitelist, som giver visse hjemmesider tilladelse til at køre Flash-kode uden brugertilladelse - i modstrid med Edges generelle sikkerhedsindstillinger.

Når man besøger Facebook i Microsofts Edge-browser, kan det sociale medie køre Flash-kode i browseren uden tilladelse fra brugeren. Normalt skal brugeren klikke på et Flash-element for at aktivere det, men Edge indeholder en skjult whitelist, som gør, at Facebook kan eksekvere Flash-kode bag om ryggen på brugeren.

Det skriver ZDNet.

Før februar 2019 indeholdt listen 58 sider, inklusive en række af Microsofts egne domæner. Listen blev tidligere på måneden reduceret til to domæner, som tilhører Facebook, efter at en sikkerhedsforsker hos Google fandt adskillige sikkerhedshuller forbundet med whitelisten.

Sikkerhedsforskeren, Ivan Fratic, skrev en bug rapport, og Microsoft reagerede ved at reducere whitelisten til kun de to Facebook-domæner, som altså stadig kan køre Flash-kode uden brugertilladelse.

Whitelisten dækker kun apps, der fylder mere end 398 x 298 pixels, og skal sandsynligvis understøtte de mange Flash-spil, der kører over Facebook. Facebooks egen videoservice er ikke Flash-baseret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Microsoft har altid haft whitelister man har kunnet købe sig ind på.

For nogle år siden (det arabiske forår) var det vist den tunesiske efterretningstjeneste root cert. Man kunne slette det i Windows trusted root store, men straks man besøgte en side med et cert udstedt herfra, så dukkede den op i cert store igen.

Og for år siden havde vi Sony der købte sig forbi rootkit detection i de fleste AV produkter, undtagen Kaspersky.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize