CIO Premium Job & Karriere Eksperten IT-Kurser Events Søg
Cookie ikon

Skjult liste i Microsoft Edge tillader Facebook at afvikle Flash automatisk

Microsofts Edge-browser har en indbygget skjult liste over domæner, som kan omgå den indbyggede sikkerhedsfunktion. På den måde kan ukendt Flash-indhold på Facebook automatisk afspilles, uden at brugeren har sagt god for det.

22. februar 2019 kl. 12.46 8 kommentarer
Niels Veileborg Debatredaktør

Normalt kan det ikke lade sig gøre at auto-køre Adobe Flash-indhold i Microsofts Edge-browser - det kræver en manuel handling fra brugeren.

Men nu viser det sig, at Edge har en indbygget såkaldt white list med domæner, som kan omgå denne indbyggede sikkerhedsfunktion kaldet clik2play, skriver Bleeping Computer.

Listen blev opdaget og rapporteret 26. november 2018 af security researcher Ivan Fratic, der arbejder for Google Project Zero.

Stien til listen er ‘C:\Windows\system32\edgehtmlpluginpolicy.bin’, og den indeholdt oprindelig en lang krypteret liste med i hvert fald 56 domæner, der under visse forhold kunne afvikle Flashindhold uden tilladelse fra brugeren.

Ivan Fratic skriver i sin indberetning på bugs.chromium.org, at der er en lang række årsager til, at sådan en white liste udgør en sikkerhedsrisiko:

“- An XSS vulnerability on any of the domains would allow bypassing click2play policy.

-There are already *publicly known* and *unpatched* instances of XSS vulnerabilities on at least some of the whitelisted domains

-The whitelist is not limited to https (this wouldn't work anyway as some of the whitelisted domain don't support https at all). Even in the absence of an XSS vulnerability, this would allow a MITM attacker to bypass the click2play policy”, skriver han.

Microsoft meddelte i december, at selskabet skiftede motor under Edge-browseren og droppede sin egen renderings engine EdgeHTML til fordel for open source-platformen Chromium.

Det kan du læse mere om her: Hejser det hvide flag: Derfor overgiver Microsoft sig i den store browserkrig om internettet

Ivan Fratic skriver også, at listen over domæner er meget bred og indeholder sites, som han personligt ikke ville forvente at finde på sådan en liste.

Eksempelvis optræder en spansk frisørsalon på listen (www.dgestilistas.es)

Microsoft har i den seneste patch tuesday-opdatering af Windows 10 v1803 håndteret sagen i den forstand, at white listen nu kun indeholder to domæner, nemlig https://www.facebook.com og https://apps.facebook.com

Indtil videre har Microsoft ikke meldt noget officielt ud om, hvorfor listen i første omgang var krypteret, og hvorfor Facebook selv efter den seneste opdatering fortsat findes på listen, skriver Bleeping Computer.


Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Blandt 18.000 indberetninger om databrud er menneskefejl den mest almindelige: Sådan undgår din virksomhed de mest basale databrud
0 Premium-indhold

Hackere har manipuleret med lækkede data fra Det Europæiske Lægemiddelagentur
Bliv medlem nu

Få adgang til eksklusivt Premium-indhold, kun for abonnenter

12 måneder for kun 2.195kr

Læs mere om Premium
Mest læste:



Navnenyt fra it-danmarkVis alle »
Peter Frederiksen
Peter Frederiksen
Ismail Kalayci
Ismail Kalayci
Tina Lindbæk
Tina Lindbæk
Mathias Baden Frederiksen
Mathias Baden Frederiksen

Jingyu She
Jingyu She
Raziel Bareket
Raziel Bareket
Morten Reimer
Morten Reimer
Jannich Kolstrup Larsen
Jannich Kolstrup Larsen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Nye muligheder for lynhurtig planning optimization i Dynamics 365 SCM

Hurtigere omstilling i virksomhedens supply chain er blevet et must og med de nye muligheder for lynhurtig planning optimization i Dynamics 365 SCM får du en fleksibel og skalerbar MRP-motor.

20. januar 2021 | Læs mere

Digital Vækst 2021

Vi ved, at fremtidens vindervirksomheder er digitale. På konferencen undersøger vi de tre vigtigste aspekter i den digitale transformation: Forretningsmodellerne, de menneskelige og organisatoriske faktorer samt valget af teknologier. I tre Digitale Dilemmaer giver vi en række digitale frontløbere fem minutter hver til at levere deres bedste guldkorn, og herefter åbner vi for spørgsmål fra salen – også digitalt. Diskussionen modereres af chefredaktør på Computerworld, Lars Jacobsen.

21. januar 2021 | Læs mere

Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere

Alle events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »

Jim Nielsen

Jette Hansen

Pernille Hertel

Cathie Heming

Mikkel Heltborg Terp

Jeppe Hedaa

Kim Lohse

Thomas Madsen
opinion
Jim Nielsen
Læren af Trump: Vi må alle styre lysten til at spidsvinkle og til at male skabet med skeletterne alt for lyserødt
Læs indlæg
mest debatterede artikler
7
Presset Intel overvejer at søge teknisk bistand udefra: ”Der findes en fremtid, hvor vi anvender andres processer og teknologi”
Den mægtige chip-producent overvejer nu at søge ekspertise og udstyr udefra for at indhente sine rivaler. Se debat

4
Nvidia slipper nyt grafikkort ud til masserne: RTX 3060 går efter at levere valuta for pengene
Nvidias nyeste grafikkort henvender sig til de mere budgetbevidste gamere. Se debat

3
Spiludvikler optrapper konflikten med Apple: Klager til konkurrence-myndighederne
Selskabet bag det kendte onlinespil Fortnite udvider nu konflikten mellem Apple og udvikleren selv. Epic Games, der står bag spillet, har nemlig valgt at klage til de britiske konkurrence-myndigheder Se debat

3
Vestager langer ud efter Twitter: "Hvorfor har man ikke gjort mere tidligere?"
EU's danske ledende næsteformand for EU Kommissionen undrer sig over, at Twitter har ventet til sidste øjeblik med at udelukke Donald Trump. Se debat

3
Twitters topchef erkender at it-selskaber har fået for meget magt
Stifteren af Twitter Jack Dorsey erkender, at it-giganterne har for meget magt fokuseret omkring en håndfuld mennesker. Se debat

Mest læste klummer og blogs
Det kan gå helt galt: Husk de blinde vinkler, når du satser på kunstig intelligens
Klumme: Kunstig intelligens er et centralt element i den digitalisering, som kun har fået mere fart under Corona-pandemien. Men man skal huske at belyse de blinde vinkler og være bevidst om sin datakvalitet, så man undgår en skævvridning af resultaterne. Det kræver fokus på AI-etik.
Af: Pernille Hertel
Fremtidens digitale jobmarked – hvem har magten?
Klumme: Mit postulat er, at vinderne dels er de medarbejdere, der ser hele verden som deres mulighed for at skabe præcis den karriere, som de ønsker sig. Og dels virksomheder, som ser hele verden som en mulighed for at vælge den rette profil til jobbet.
Af: Cathie Heming
Her er metoden til at bruge bitcoin som helt almindeligt betalingsmiddel med dit Visakort - det er disruption i sin reneste form
Klumme: Hvad kan man egentlig bruge bitcoins til? Du kan for eksempel bruge denne metode til at få dig et Visa-kort og så bare bruge løs af din wallet nede i Brugsen eller det lokale Pizzaria. Men hvad gør vi ved de store samfundsmæssige spørgsmål, det rejser?
Af: Kristian Bank Erbou
opinion
Jette Hansen
Her er de fem teknologier, der vil sætte turbo på digital transformation i 2021
opinion Jette Hansen
Her er de fem teknologier, der vil sætte turbo på digital transformation i 2021
Læs indlæg

Premium
Blandt 18.000 indberetninger om databrud er menneskefejl den mest almindelige: Sådan undgår din virksomhed de mest basale databrud
18.000 anmeldelser om databrud er tikket ind hos Datatilsynet siden siden GDPR-loven trådte i kraft. "Mange af de fejl, som vi ser, beror på relativt banale fejl,” lyder det fra tilsynets it-sikkerhedspecialist Allan Frank. Se her, hvordan du relativt nemt kan undgå dem.
Læs mere »
Hackere har manipuleret med lækkede data fra Det Europæiske Lægemiddelagentur
Grønt lys til nyt it-selskab med Netcompany i central rolle: Vil revolutionere lufthavns-driften over hele verden
Danske Nextway omrokerer i toppen: Her er ny CEO Thomas Hougaard-Enevoldsens plan med selskabet
Se alle »
Computerworld
IBM vinder millionaftale om nyt toldsystem
Skatteforvaltningen har tegnet en tiårig kontrakt IBM om levering af det sidste it-system til i en omfattende systemudskiftning i toldsystemerne og som først forventes afsluttet i 2025. Se alle detaljerne her.
Læs mere »
Verdens tredjestørste smartphone-producent blacklistes af Trump-administrationen
Desperat bitcoin-milliardær prøver at huske kodeord: Kryptovaluta for 220 millioner dollar er fanget på harddisk
Nokia tog afsked med tusindvis af ansatte efter kæmpe nedtur: Sådan går det for dem i dag
Se alle »
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Læs mere »
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
Se alle »
Job & Karriere
Microsoft i kæmpe dansk satsning - åbner tre store datacentre i Danmark
Microsoft lancerer kæmpe satsning fra hovedkvarteret i Lyngby. Selskabet åbner tre store bæredygtige datacentre på Sjælland.
Læs mere »
Kontroversiel PowerPoint spreder sig blandt de ansatte hos KMD: Planlægger selskabet at reducere medarbejderstaben med 10 procent?
NNIT skifter ud i topledelsen - indsætter nye direktører: Se den nye direktion her
KMD-topchef bekræfter yderligere nedskæringer i den danske stab - alt imens der oprustes i Polen
Se alle »
White paper
Cisco Umbrella: Sådan udvikler truslerne sig netop nu
Hver eneste dag håndterer de mere end 30 datacentre under Cisco Umbrella mere end 240 milliarder forespørgsler fra 190 lande. Det giver sikkerhedseksperter hos Cisco Talos et enestående datagrundlag for at kortlægge, hvordan cybertrusselsbilledet udvikler sig. I dette whitepaper kan du læse, hvordan trusselsbilledet har udviklet sig hen over 2020. Men – endnu vigtigere – om, hvordan din organisation bedst forbereder sig på at håndtere truslerne i tiden der kommer.
Læs mere »
Ryk SAP-workloads i skyen – og tag alle de kendte fordele med
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Optimér produktiviteten og lad din printer følge med ud i skyen
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »