CIO Premium Job & Karriere Eksperten IT-Kurser Events Søg

Skjult liste i Microsoft Edge tillader Facebook at afvikle Flash automatisk

Microsofts Edge-browser har en indbygget skjult liste over domæner, som kan omgå den indbyggede sikkerhedsfunktion. På den måde kan ukendt Flash-indhold på Facebook automatisk afspilles, uden at brugeren har sagt god for det.

22. februar 2019 kl. 12.46 8 kommentarer
Niels Veileborg Debatredaktør

Normalt kan det ikke lade sig gøre at auto-køre Adobe Flash-indhold i Microsofts Edge-browser - det kræver en manuel handling fra brugeren.

Men nu viser det sig, at Edge har en indbygget såkaldt white list med domæner, som kan omgå denne indbyggede sikkerhedsfunktion kaldet clik2play, skriver Bleeping Computer.

Listen blev opdaget og rapporteret 26. november 2018 af security researcher Ivan Fratic, der arbejder for Google Project Zero.

Stien til listen er ‘C:\Windows\system32\edgehtmlpluginpolicy.bin’, og den indeholdt oprindelig en lang krypteret liste med i hvert fald 56 domæner, der under visse forhold kunne afvikle Flashindhold uden tilladelse fra brugeren.

Ivan Fratic skriver i sin indberetning på bugs.chromium.org, at der er en lang række årsager til, at sådan en white liste udgør en sikkerhedsrisiko:

“- An XSS vulnerability on any of the domains would allow bypassing click2play policy.

-There are already *publicly known* and *unpatched* instances of XSS vulnerabilities on at least some of the whitelisted domains

-The whitelist is not limited to https (this wouldn't work anyway as some of the whitelisted domain don't support https at all). Even in the absence of an XSS vulnerability, this would allow a MITM attacker to bypass the click2play policy”, skriver han.

Microsoft meddelte i december, at selskabet skiftede motor under Edge-browseren og droppede sin egen renderings engine EdgeHTML til fordel for open source-platformen Chromium.

Det kan du læse mere om her: Hejser det hvide flag: Derfor overgiver Microsoft sig i den store browserkrig om internettet

Ivan Fratic skriver også, at listen over domæner er meget bred og indeholder sites, som han personligt ikke ville forvente at finde på sådan en liste.

Eksempelvis optræder en spansk frisørsalon på listen (www.dgestilistas.es)

Microsoft har i den seneste patch tuesday-opdatering af Windows 10 v1803 håndteret sagen i den forstand, at white listen nu kun indeholder to domæner, nemlig https://www.facebook.com og https://apps.facebook.com

Indtil videre har Microsoft ikke meldt noget officielt ud om, hvorfor listen i første omgang var krypteret, og hvorfor Facebook selv efter den seneste opdatering fortsat findes på listen, skriver Bleeping Computer.


Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Test: Apple lider vist af idétørke - men slipper alligevel rimelig godt afsted med det nye Watch Series 6
0 Premium-indhold

Amazons fantastiske innovationsmaskine er både skræmmende og fascinerende: Det er måske verdens mest innovative firma lige nu
Bliv medlem nu

Få adgang til eksklusivt Premium-indhold, kun for abonnenter

12 måneder for kun 1.995kr

Læs mere om Premium
Mest læste:



Navnenyt fra it-danmarkVis alle »
Tore Pein Jensen
Tore Pein Jensen
Kaare Birketoft
Kaare Birketoft
Christian Jensen
Christian Jensen
Charlotte Kure Juul
Charlotte Kure Juul

Trine Lyng Madsen
Trine Lyng Madsen
Christian Sørensen
Christian Sørensen
Jesper Fromm
Jesper Fromm
Niels Christian Heltner
Niels Christian Heltner


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Udvikling og salg af software til integration, kommunikation og e-handel samt ERP med fokus på leasing, detailhandlen, digitale abonnementer og dagblade/magasiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Giv dit salg og kundeservice et løft med Dynamics 365

Microsoft har sat turbo på udviklingen af Dynamics 365, som er stærkere, mere omfattende og mere fleksibel end nogensinde før. Resultatet er et hav af nye muligheder. Både for dig, som allerede bruger dele af Dynamics' ERP-funktionalitet, og for dig som vil høste fordelene af alle de andre smarte funktioner, Dynamics 365-platformen byder på.

06. oktober 2020 | Læs mere

Netværkssikkerhed - teknologi og værktøjer til at skabe sikre netværk

Netværket er din virksomheds livsnerve: Den ofte oversete teknologi, der sikrer, at interne og eksterne medarbejdere, leverandører eller kunder har adgang til netop den information der holder driften kørende.

07. oktober 2020 | Læs mere

ESDH/ECM: Effektiv data- og dokumenthåndtering i din organisation

Den rigtige dokumenthåndtering er i den grad med til at sikre effektiviteten i din virksomhed. Det hjælper både din virksomhed og dine medarbejder til at spare tid, mindske risikoen for fejl og leve op til gældende regler. Få svar på hvilke arbejdsprocesser, der med fordel kan digitaliseres først.

20. oktober 2020 | Læs mere

Alle events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »

Lars Bo Klausen

Rick Vanover

Henrik Larsen

Thomas Madsen

Claus Riekehr Møller

Mikkel Heltborg Terp

Jesper Lund Hedegaard

Mikkel Heltborg Terp
opinion
Lars Bo Klausen
Tech-kyndige topledere er nøglen til fremtidig succes i en 5G-verden
Læs indlæg
mest debatterede artikler
12
Vestager appellerer historisk EU-dom: Nu skal Apples milliardregning vendes ved den europæiske højesteret
Godt to måneder efter historisk Apple-sejr ved de europæiske domstole, appellerer konkurrencekommissær Margrethe Vestager sagen ved EU's højeste retsinstans. Se debat

10
Flere tech-giganter kritiserer Apples app-butik for urimelige gebyrer
Apple gebyrpolitik er urimelige, mener en stribe software-giganter, som søger efter et alternativ. Se debat

5
Så tæt er Danmark på at være fuldt dækket af hurtige bredbåndsforbindelser
Danske husstande og virksomheder over næsten hele landet har adgang til hurtige bredbåndsforbindelser. Det viser en ny fremskrivning fra Energistyrelsen, der peger på, at der nogle steder i landet nu er "fuld dækning". Se debat

4
Statens Serum Institut har slettet alle sendte mails ved en fejl: "Det er dybt beklageligt"
Alle sendte mails fra Statens Seruminstitut og Sundhedsdatastyrelsen er blevet slettet, hvis de er sendt før 22. juli, oplyser de to myndigheder. Se debat

2
Ugen i tech: VW’s nye elbil kan blive en favorit på det danske marked / Stor læk: Her er den nye toptelefon fra OnePlus / Airbus: Sådan ser fremtidens fossilfrie fly ud
VW’s nye elbil kan blive en favorit på det danske marked / Stor læk: Her er den nye toptelefon fra OnePlus / Airbus: Sådan ser fremtidens fossilfrie fly ud Se debat

Mest læste klummer og blogs
Tre vigtige skridt til at sikre en hybrid arbejdsform
Klumme: Virksomheder med et stærkt forsvar i flere lag og en strategi til at sikre den bedst mulige genoprettelse har langt bedre chancer for hurtigt at komme sig efter et angreb.
Af: Rick Vanover
Tech-kyndige topledere er nøglen til fremtidig succes i en 5G-verden
Klumme: Problemet har aldrig været mangel på teknologi, men at mange ikke har brugt den teknologi, der findes.
Af: Lars Bo Klausen
Overnational smittesporing viser en vej for fremtidens brug af data
Klumme: Jeg tror på, at data vil virke i menneskehedens tjeneste. EU’s kommende gateway til smittesporing over landegrænser viser, at det kan lade sig gøre. Virksomheder kan også lære af den historie!
Af: Thomas Madsen
opinion
Henrik Larsen
Endelig er vi nået til oktober: Bare det var oktober hele året rundt
opinion Rick Vanover
Tre vigtige skridt til at sikre en hybrid arbejdsform
Læs indlæg

Premium
Test: Apple lider vist af idétørke - men slipper alligevel rimelig godt afsted med det nye Watch Series 6
Computerworld tester: Der er ikke meget nyt at spore i Apples nye Watch, alligevel er det svært at anbefale andet en et Apple Watch.
Læs mere »
Amazons fantastiske innovationsmaskine er både skræmmende og fascinerende: Det er måske verdens mest innovative firma lige nu
Efter rokade i KMD's direktion: Her er selskabets nye ledelse
Nordjysk it-konsulenthus gør klar til børsnotering: "Der er meget stor interesse for vores aktier"
Se alle »
Computerworld
Statens Serum Institut har slettet alle sendte mails ved en fejl: "Det er dybt beklageligt"
Alle sendte mails fra Statens Seruminstitut og Sundhedsdatastyrelsen er blevet slettet, hvis de er sendt før 22. juli, oplyser de to myndigheder.
Læs mere »
Snart vil du kunne opbevare 20 terabyte på en almindelig harddisk: Seagate på vej med revolution
Streaming: Gratis sci-fi i lange baner
Alibaba-stifter Jack Ma er ikke længere Kinas rigeste: Se hans overmand her
Se alle »
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Læs mere »
Se alle »
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
Læs mere »
Her er 10 spændende jobopslag, hvis du er på jagt efter en QA-stilling
Se alle »
White paper
Stor rapport kortægger: Sådan er kundernes forventninger til en moderne kundeservice
Kender du din målgruppes foretrukne kanal til annoncering, salg og kundeservice? Ved du om salg og kundeservice arbejder godt nok sammen? Og i hvilken grad lever du op til kundernes forventninger? De spørgsmål kan du finde svar på i dette whitepaper fra Zendesk, som via knapt 5.000 interviews og spørgeskemaer har kortlagt både kunder og customer experience-folks erfaring og forventninger til en god kundeoplevelse. Whitepaperet er derfor en oplagt og overskuelig målestok, for dig der arbejder med customer experience og vil benchmarke sin egen indsagt – eller til dig, der skal til at etablere en moderne kundeoplevelse og vil prioritere indsatsen korrekt.
Læs mere »
Bevis værdien ved Vulnerability Management med 4 simple trin
Tør du vente på et databrud? Kom i gang med at sikre dig nu!
Overhold GDPR med Vulnerability Management
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »