Facebook a une porte secrète ouverte dans Edge qui lui permet d'exécuter Flash sans que l'utilisateur le sache
Table des matières:
Êtes-vous inquiet pour la confidentialité de vos données ? Attendez, car les courbes arrivent. Un chercheur en sécurité a découvert une faille affectant le navigateur Web de Microsoft, Edge. En attendant qu'un correctif fasse le saut vers le moteur de rendu basé sur Chromium, des problèmes subsistent pour Edge.
L'alerte, comme à d'autres occasions, vient de Google Project Zero, un département chargé d'enquêter et de détecter les bogues et les lacunes dans les applications et les systèmes d'exploitation. Et dans ce cas, Ivan Fratric, (@ifsecure), a détecté un bogue dans Edge qui permet l'exécution de code Flash sans que l'utilisateur ne le sache .
Barre gratuite pour Flash
Pour avoir un peu de contexte, nous devons remonter dans le temps jusqu'à la fin de 2018. De Google Project Zero ils ont découvert une liste blanche(liste blanche) dans Edge. C'est une liste qui fonctionne de la même manière que celle que nous pouvons utiliser sur les _smartphones_, sauf qu'au lieu d'utiliser des numéros de téléphone, elle utilise des services Web.
Au total, cette liste a permis à nos équipes d'accéder gratuitement à jusqu'à 58 sites Web de toutes sortes pourraient exécuter du code basé sur Adobe Flashet tout cela, bien entendu, sans que la personne concernée en ait connaissance. C'était le problème.
Microsoft a été porté à l&39;attention du problème, Edge a été corrigé et bien qu&39;ils se soient attaqués à la racine du problème, ils n&39;ont pas été en mesure d&39;éliminer toutes les menacesIls ont persisté deux sites Web qui avaient encore des autorisations pour exécuter Flash.Et ils étaient tous les deux sous l&39;influence de Facebook. Voici les deux domaines privilégiés :"
- https://www.facebook.com
- https://apps.facebook.com
Cela signifie que tout widget qui s&39;exécute sur Flash et est inclus dans l&39;un de ces domaines, peut enfreindre les mesures de sécurité de MicrosoftDe plus, Fratric lui-même a découvert un nouveau risque par lequel la politique clicktorun dont se vante Edge pourrait être contournée et qui accorde le contrôle de l&39;accès à l&39;ordinateur à l&39;utilisateur. C&39;est lui qui peut admettre ou refuser l&39;exécution de ce type de prestations. Une faille de sécurité importante, car le code Flash pourrait être exécuté soit par ces domaines, soit même via une attaque MITM (Man In The Middle)."
Selon l&39;avis sur le site Web, _lorsque vous visitez un site Web qui tente de charger du contenu Flash lors de la navigation avec Microsoft Edge à partir de Windows 10 Creators Update, vous remarquerez peut-être que certains aspects du site Web ne ne fonctionne pas correctement comme vous l&39;attendez. Ce comportement inattendu peut être dû au blocage par défaut de Flash en raison de la fonctionnalité Flash Démarrer en un clic_. En théorie, cela devrait être comme ça"
Un clou au bord
Ce fait est particulièrement grave, car il signifie que la sécurité et l'intégrité des données des utilisateurs sont menacées. Et au passage, cela contredit la politique de sécurité d'Edge, qui lutte contre l'utilisation frauduleuse de ce type de pratiques.
"C&39;est un mauvais service que des actions comme celle-ci rendent à Edge, un navigateur en santé délicate qui voit déjà comment Microsoft Il a établi un date de décès quand dans Windows 10 octobre 2019 Mettre à jour le nouveau Edge est une réalité."
Via | Image de couverture ZDNet | iAmMrRob
