Søg

Skjult liste i Microsoft Edge tillader Facebook at afvikle Flash automatisk

Microsofts Edge-browser har en indbygget skjult liste over domæner, som kan omgå den indbyggede sikkerhedsfunktion. På den måde kan ukendt Flash-indhold på Facebook automatisk afspilles, uden at brugeren har sagt god for det.

22. februar 2019 kl. 12.46
Artikel top billede
Niels Veileborg Niels Veileborg Debatredaktør

Normalt kan det ikke lade sig gøre at auto-køre Adobe Flash-indhold i Microsofts Edge-browser - det kræver en manuel handling fra brugeren.

Men nu viser det sig, at Edge har en indbygget såkaldt white list med domæner, som kan omgå denne indbyggede sikkerhedsfunktion kaldet clik2play, skriver Bleeping Computer.

Listen blev opdaget og rapporteret 26. november 2018 af security researcher Ivan Fratic, der arbejder for Google Project Zero.

Stien til listen er ‘C:\Windows\system32\edgehtmlpluginpolicy.bin’, og den indeholdt oprindelig en lang krypteret liste med i hvert fald 56 domæner, der under visse forhold kunne afvikle Flashindhold uden tilladelse fra brugeren.

Ivan Fratic skriver i sin indberetning på bugs.chromium.org, at der er en lang række årsager til, at sådan en white liste udgør en sikkerhedsrisiko:

“- An XSS vulnerability on any of the domains would allow bypassing click2play policy.

-There are already *publicly known* and *unpatched* instances of XSS vulnerabilities on at least some of the whitelisted domains

-The whitelist is not limited to https (this wouldn't work anyway as some of the whitelisted domain don't support https at all). Even in the absence of an XSS vulnerability, this would allow a MITM attacker to bypass the click2play policy”, skriver han.

Microsoft meddelte i december, at selskabet skiftede motor under Edge-browseren og droppede sin egen renderings engine EdgeHTML til fordel for open source-platformen Chromium.

Det kan du læse mere om her: Hejser det hvide flag: Derfor overgiver Microsoft sig i den store browserkrig om internettet

Ivan Fratic skriver også, at listen over domæner er meget bred og indeholder sites, som han personligt ikke ville forvente at finde på sådan en liste.

Eksempelvis optræder en spansk frisørsalon på listen (www.dgestilistas.es)

Microsoft har i den seneste patch tuesday-opdatering af Windows 10 v1803 håndteret sagen i den forstand, at white listen nu kun indeholder to domæner, nemlig https://www.facebook.com og https://apps.facebook.com

Indtil videre har Microsoft ikke meldt noget officielt ud om, hvorfor listen i første omgang var krypteret, og hvorfor Facebook selv efter den seneste opdatering fortsat findes på listen, skriver Bleeping Computer.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    SAP Excellence Day 2026

    Event: SAP Excellence Day 2026

    It-løsninger | Nordhavn

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    24. februar 2026 | Gratis deltagelse

    Erhvervsakademi København

    IT-projektleder til strategisk LMS-implementering på Erhvervsakademi København (EK)

    Københavnsområdet

    Jyske Bank

    Graduate, Forretningsudvikler Kreditprocesser

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Datafagtekniker til Electronic Warfare sektion i Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Københavnsområdet

    BEC Financial Technologies

    Business analyst (Senior)- Scoutz

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Idura har pr. 1. januar 2026 ansat Martin Ingolf Broberg, 43 år, som webmaster. Han skal især beskæftige sig med at få idura.eu til at spille på alle digitale tangenter og sikre, at siden genererer nye leads. Han kommer fra en stilling som team lead hos Danmarks Radio. Han har tidligere beskæftiget sig med blandt andet at stifte og lede et analyseteam i DR med fokus på web og lyd. Nyt job

    Martin Ingolf Broberg

    Idura

    Lector ApS har pr. 5. januar 2026 ansat Per Glentvor som Seniorkonsulent i LTS-gruppen. Per skal især beskæftige sig med med videreudvikling af Lectors løsning til automatisering og forenkling af toldprocesser. Per kommer fra en stilling som freelancekonsulent. Per har tidligere beskæftiget sig med løsninger indenfor trading, løsninger til detail, mobil samt logistik. Nyt job

    Per Glentvor

    Lector ApS

    Mikkel Hjortlund-Fernández, Service Manager hos Terma Group, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest. Foto: Per Bille. Færdiggjort uddannelse

    Mikkel Hjortlund-Fernández

    Terma Group

    Adeno K/S har pr. 2. februar 2026 ansat Casper Barner Kristensen som ServiceNow Expert. Han kommer fra en stilling som Senior Automation Architect. Nyt job

    Casper Barner Kristensen

    Adeno K/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Martin Thorborg nedlægger 30 stillinger permanent: 'AI'en solgte for 2,5 millioner i januar'
    2 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    3 Knækker komponent-kurven? Hukommelses-priser begynder at dale i Europa
    4 Morgen-briefing: Borgerforslag vil afskaffe Palantir i Danmark / Microsoft Notepad understøtter nu billeder / AI-boss Sam Altman påpeger at ’Mennesker også kræver meget energi’
    5 USA indfører ny told på næsten al elektronik
    6 Top-CIO Pernille Geneser er landet midt i en kæmpe omstilling: Hundreder af millioner kroner skal bruges på nye digitale værktøjer
    7 Hacker trængt igennem 600 firewalls i 55 lande ved hjælp af AI: Disse værktøjer har han anvendt
    8 Nationalbanken klar til at bruge millioner på indkøb af cyber-angreb: Disse tre selskaber skal stå for angrebene

    Se seneste uge