Theo các nhà nghiên cứu bảo mật của Google, Microsoft Edge FacebookCho phép phát nội dung Flash. Theo chính sách bảo mật của Edge, nội dung Flash không được phép.
Mặc dù Microsoft Edge sẽ sớm chết nhưng đây không phải là trình duyệt mà mọi người đều nói lời tạm biệt. Mặt khác, Google có ý định đóng những chiếc đinh cuối cùng vào quan tài.
Các chuyên gia bảo mật của Google cho biết Microsoft Edge có danh sách trắng và các trang web nằm trong danh sách trắng này. FacebookNó đã xác định rằng… đang phát nội dung Flash mà người dùng không hề hay biết. Việc phát loại nội dung này mà người dùng không hề hay biết cũng là vi phạm chính sách của Edge.
Trong số 58 trang web trong danh sách được phép phát nội dung Flash có các trang như cổng MSN, Deezer, Yahoo và trang mạng xã hội Trung Quốc QQ. Microsoft danh sách này 2 quản lý để tải về trang web. Cả hai miền trong danh sách Facebookthuộc về
Các nhà nghiên cứu bảo mật của Google Zero cũng liệt kê các lỗ hổng như sau:
- Do lỗ hổng XSS, chính sách nhấp để phát có thể bị vượt quá.
- Ít nhất một số miền trong danh sách trắng đã có miền ‘công khai’ và ‘không cố định’ đối với các lỗ hổng XSS.
- Chỉ các miền https không nằm trong danh sách trắng, điều này có thể khiến kẻ tấn công MITM lách chính sách nhấp để phát, ngay cả khi không có lỗ hổng XSS.
Hiện tại, Edge FacebookCho phép các plugin Flash có kích thước lớn hơn 398 x 298 pixel. Các trang còn lại cần có sự đồng ý của người dùng để phát nội dung Flash.
Nói rằng không hiểu danh sách ban đầu được tạo ra như thế nào, nhân viên Google cho biết danh sách này còn bao gồm tên miền của một thợ làm tóc ở Tây Ban Nha.
Bức màn dành cho Flash sẽ được hạ xuống vào năm 2020 và kỷ nguyên Flash sẽ kết thúc. Microsoft cũng sẽ từ bỏ EdgeHTML để chuyển sang Edge và bắt đầu sử dụng Google Chrome.
Nguồn: https://www.zdnet.com/article/microsoft-edge-lets-facebook-run-flash-code-behind-users-backs/
