Microsoft Edge
浏览器包含了一个秘密的白名单,允许
Facebook 运行 Adobe Flash 代码。白名单允许 Facebook 的 Flash 内容绕过
Edge 的安全功能,比如点击后才激活。

IT之家2月21日消息据Ghacks消息,微软Edge浏览器使用了一个秘密的FlashPlayer白名单,支持网站默认加载Flash内容,而无需经过用户同意。

IT之家7月26日消息今天早上,IT之家报道了Adobe宣布2020年停止开发和分发Flash浏览器插件的消息。性能和安全问题,AdobeFlash自发布以来,就存在大量的严重安全漏洞,且屡次更新也无法彻底解决。

白名单已经存在了一段时间,在 2018 年 2 月前,它包含了 58
个条目,其中包括微软主站子站域名,MSN,音乐流媒体
Deezer,雅虎,以及腾讯的 QQ、华数 TV、斗鱼、4433、PPTV、bilibili 等。

作为Windows 10系统的默认浏览器,Edge本身支持Adobe
Flash,用户在浏览器中单击询问对话框即可播放,也可以完全禁用Flash。最近曝光的消息显示,微软为Edge浏览器设置了一个白名单,58个域名上的Flash内容可以无需询问用户,自行加载。

对此,微软宣布,将于2020年年底前从Windows系统中完全清除Flash
Player插件。为了顺利过渡到替代解决方案,微软将实施四步走战略。

澳门葡萄京官方网站 1
△ 白名单中的部分域名

这些网站大部分是门户网站,比如Facebook、MSN、QQ空间、4399、哔哩哔哩等。微软对该列表进行了模糊处理,谷歌工程师只能使用已知的、流行的域名字典来破解。

第一阶段,将从今年晚些时候开始,持续到2018年。在这个阶段中,当用户通过Edge浏览器访问陌生新网站的时候,网站上的Flash内容只有在得到用户许可的情况下才能运行,后续访问中会记住用户的偏好设置。另外,无特殊权限的Flash内容将继续允许运行。

在 Google
安全研究人员报告白名单机制存在安全问题之后,白名单中的条目数量缩小到 2
个:facebook.com 和 apps.facebook.com。

根据报道,若Flash内容托管在其中一个列入白名单的域中,或者其Flash元素大于398×298像素,则允许加载Flash内容。报道称,这个白名单的危险之处在于,攻击者可以利用其列表,完全绕过点击播放策略,或在某些包含在其中的网站上使用XSS漏洞。

第二阶段,2018-2019年中。Edge浏览器在升级后将会显示提醒并在每个会话环节都要获得用户的许可,而IE浏览器能够继续允许所有网站的Flash内容。

作为 Windows 10 的默认浏览器,Edge 本身支持 Adobe
Flash,用户在浏览器中点击询问对话框即可播放,也可以完全禁用 Flash。Adobe
已经计划在2020年底停止对 Flash Player 的最终支持,并不再分发该软件。虽然
Flash 可继续使用,但它仍然是计算机面临的最大安全风险之一。

Adobe已经计划,在2020年底停止对Flash
Player最终支持,并不再分发该软件。虽然Flash可继续使用,但它仍然是计算机面临的最大安全风险之一。据报道,微软创建此列表的参数标准尚不清楚,微软也还没有对此事进行回应。

第三个阶段,2019年年中到年底。两款浏览器将默认阻止Flash内容,但是用户可以手动重新激活。

微软方面表示对创建此列表的参数标准尚不清楚,也未对此事进行回应。

第四个阶段,持续到2020年年底。两款浏览器将会完全移除Flash内容,Edge和IE浏览器将不再允许运行Flash内容。

(文/开源中国)    

目前,微软已经开始了第一阶段的工作,在Edge浏览器中默认不激活Flash内容,用户需手动点击才能运行。