Microsoft Edge 秘密白名单可让Facebook自动运行Flash

2019-02-28 15:29:457516人阅读

Microsoft的Edge Web浏览器附带一个隐藏的白名单文件,可让Facebook绕过嵌入的即点即用安全政策,无需征得用户同意自动运行Flash内容。

Google Project Zero的Ivan Fratric在11月26日提交的初步漏洞报告中称:

Microsoft Windows中文件“C:\ Windows \ system32 \ edgehtmlpluginpolicy.bin”中包含默认白名单的域,其可绕过Flash click2play、在Microsoft Edge中无需获取用户确认便对Flash内容进行加载。

当前版本的秘密Edge白名单仅允许Facebook在www.facebook.com和apps.facebook.com域上绕过Flash点击点击播放政策,而其他不存在的域则不在此列表。

在其报告中,安全研究人员还强调,让Flash自动运行白名单与Web浏览器捆绑在一起存在的安全隐患,特别是考虑到Adobe发布的Flash安全补丁数量。

此白名单的诸多不安全原因:

任何域上的XSS漏洞都允许绕过click2play政策。

至少在一些列入白名单的域中已经存在“已知公开”和“未修补”的XSS漏洞实例,如https://www.openbugbounty.org/reports/582253/和https://www.openbugbounty.org / reports / 444528 /以及https://www.openbugbounty.org/reports/130555/

白名单不限于https(这也没啥影响,因为一些白名单域根本不支持https)。即使没有XSS漏洞,MITM攻击者还是会绕过click2play政策。

微软在本月的“周二补丁”通过将白名单削减少到两个Facebook域、并通过添加HTTPS支持作为白名单上所有条目的要求来减少MITM攻击的可能性、解决Fratric报告的部分问题。

然而,早在11月,安全研究人员最初在白名单中发现了Windows 10 v1803上58个域的sha256哈希,他能以此解密并获得56个站点。

原始Microsoft Edge Flash白名单中所有58个条目如下:

Microsoft Edge 秘密白名单可让Facebook自动运行Flash


Microsoft Edge 秘密白名单可让Facebook自动运行Flash


将条目加密加到白名单的的选择和本月的“星期二补丁”之后依然保持Facebook域名列入白名单的决定也是微软要回答的两个问题。

Microsoft Edge 秘密白名单可让Facebook自动运行Flash


使用Flash白名单,微软不是第一个。2015年6月期间,还发现曾将NoScript的几十个域列入了白名单,这些域可以执行Flash、Java和/或JavaScript内容,但Firefox附加组件阻止了不在其名单中的域运行此类内容。


本文转自mottoin,作者Gump,点击查看原文

0
现金券
0
兑换券
立即领取
领取成功