Søg

Skjult liste i Microsoft Edge tillader Facebook at afvikle Flash automatisk

Microsofts Edge-browser har en indbygget skjult liste over domæner, som kan omgå den indbyggede sikkerhedsfunktion. På den måde kan ukendt Flash-indhold på Facebook automatisk afspilles, uden at brugeren har sagt god for det.

22. februar 2019 kl. 12.46
Artikel top billede
Niels Veileborg Niels Veileborg Debatredaktør

Normalt kan det ikke lade sig gøre at auto-køre Adobe Flash-indhold i Microsofts Edge-browser - det kræver en manuel handling fra brugeren.

Men nu viser det sig, at Edge har en indbygget såkaldt white list med domæner, som kan omgå denne indbyggede sikkerhedsfunktion kaldet clik2play, skriver Bleeping Computer.

Listen blev opdaget og rapporteret 26. november 2018 af security researcher Ivan Fratic, der arbejder for Google Project Zero.

Stien til listen er ‘C:\Windows\system32\edgehtmlpluginpolicy.bin’, og den indeholdt oprindelig en lang krypteret liste med i hvert fald 56 domæner, der under visse forhold kunne afvikle Flashindhold uden tilladelse fra brugeren.

Ivan Fratic skriver i sin indberetning på bugs.chromium.org, at der er en lang række årsager til, at sådan en white liste udgør en sikkerhedsrisiko:

“- An XSS vulnerability on any of the domains would allow bypassing click2play policy.

-There are already *publicly known* and *unpatched* instances of XSS vulnerabilities on at least some of the whitelisted domains

-The whitelist is not limited to https (this wouldn't work anyway as some of the whitelisted domain don't support https at all). Even in the absence of an XSS vulnerability, this would allow a MITM attacker to bypass the click2play policy”, skriver han.

Microsoft meddelte i december, at selskabet skiftede motor under Edge-browseren og droppede sin egen renderings engine EdgeHTML til fordel for open source-platformen Chromium.

Det kan du læse mere om her: Hejser det hvide flag: Derfor overgiver Microsoft sig i den store browserkrig om internettet

Ivan Fratic skriver også, at listen over domæner er meget bred og indeholder sites, som han personligt ikke ville forvente at finde på sådan en liste.

Eksempelvis optræder en spansk frisørsalon på listen (www.dgestilistas.es)

Microsoft har i den seneste patch tuesday-opdatering af Windows 10 v1803 håndteret sagen i den forstand, at white listen nu kun indeholder to domæner, nemlig https://www.facebook.com og https://apps.facebook.com

Indtil videre har Microsoft ikke meldt noget officielt ud om, hvorfor listen i første omgang var krypteret, og hvorfor Facebook selv efter den seneste opdatering fortsat findes på listen, skriver Bleeping Computer.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    CISO Challenges 2026 - København

    Sikkerhed | Klampenborg

    CISO Challenges 2026 - København

    Computerworld stiller skarpt på, hvordan du som CISO eller sikkerhedsansvarlig, kan leve op til alle krav om sikkerhed og risikostyring, gennem dialog og erfaringsudveksling. Gennem både korte oplæg og rundbordsdiskussioner, vil du blive klædt på...

    Connected sikkerhed: Sådan samles netværk, drift og sikkerhed i én platform

    Sikkerhed | Online

    Connected sikkerhed: Sådan samles netværk, drift og sikkerhed i én platform

    Få indblik i, hvordan NaaS og SOC samler netværk og sikkerhed i én platform. Hør Semler Group dele erfaringer med hurtigere trusselsrespons, færre leverandører og mindre kompleks drift. Deltag og se, hvordan moderne sikkerhedsdrift skalerer i...

    Se alle vores events inden for it

    Banedanmark

    Stamdatakoordinator

    Københavnsområdet

    Struers ApS

    Global IT Project Manager – Shape the way we work with IT projects

    Københavnsområdet

    FK Distribution A/S

    Data Engineer / Backend udvikler til FK Distributions BI-udviklingsteam

    Københavnsområdet

    KMD A/S

    Product Owner i et AI-understøttet udviklingssetup

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job

    Ida Hyllested Friis

    Netip A/S

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 En helt ny type udvidelseskort finder vej til pc’en: Tilslutningsmulighederne er nærmest uendelige
    2 Han har bygget sin egen bestyrelse med fem AI-agenter: "Det er bestyrelseserfaring på steroider"
    3 DJI’s nye Power 1000 kan redde ferien, festivalen eller bådturen – men kommer til kort, når det gælder overlevelse
    4 Morgen-briefing: Ram-producents dystre udsigt: Priserne skal dobbelt op / Tech-aktierne styrtdykker: Trækker amerikansk aktiemarked ned / OpenAI er få uger fra at blive en ’super-app’
    5 Engang var de glødende fjender: Nu trækker Microsoft en lang række kendte Linux-funktioner ind i hjertet af Windows
    6 Dansk sammentælling: Her er de største datacentre i Danmark - to af dem slår alle andre med flere længder
    7 Om få timer lanceres europæisk stor-alternativ til Microsoft Office: Det kan du forvente
    8 Apple åbner sit første udviklingscenter i Europa - her kommer det til at ligge

    Se seneste uge