2月21日消息 据Ghacks消息,微软Edge浏览器使用了一个秘密的Flash Player白名单,支持网站默认加载Flash内容,而无需经过用户同意。
作为Windows 10系统的默认浏览器,Edge本身支持Adobe Flash,用户在浏览器中单击询问对话框即可播放,也可以完全禁用Flash。最近曝光的消息显示,微软为Edge浏览器设置了一个白名单,58个域名上的Flash内容可以无需询问用户,自行加载。
这些网站大部分是门户网站,比如Facebook、MSN、QQ空间、4399、哔哩哔哩等。微软对该列表进行了模糊处理,谷歌工程师只能使用已知的、流行的域名字典来破解。
▲白名单中的部分域名
根据报道,若Flash内容托管在其中一个列入白名单的域中,或者其Flash元素大于398x298像素,则允许加载Flash内容。报道称,这个白名单的危险之处在于,攻击者可以利用其列表,完全绕过点击播放策略,或在某些包含在其中的网站上使用XSS漏洞。
Adobe已经计划,在2020年底停止对Flash Player最终支持,并不再分发该软件。虽然Flash可继续使用,但它仍然是计算机面临的最大安全风险之一。据报道,微软创建此列表的参数标准尚不清楚,微软也还没有对此事进行回应。
微软折叠屏设备专利再曝光 或运行Windows Core OS
文件莫名其妙消失,bug多发:微软叫停win10 1809十月更新
微软在丹麦哥本哈根开设实验室 推进量子材料研究
微软开放6万项Linux专利:这对行业意味着什么?
微软高管:OneNote UWP会比桌面版更好
微软10月补丁日部署安全更新:修复已被用于攻击的Win32k提权漏洞
微软加入Linux相关专利池 有意停止对Android专利战
微软加入OIN开放式发明网络以保护Linux免受专利风险之苦
微软公布Xbox One版《荒野大镖客2》容量接近90GB
现已修复:微软解释为何Windows 10 1809会误删用户文件
微软Xbox One系统十月更新1810正式推送 新虚拟形象系统上线
