Microsoft Edge разрешает Facebook запускать Flash без спроса

Microsoft Edge разрешает Facebook запускать Flash без спроса

У браузера Microsoft Edge обнаружился скрытый файл, позволяющий Facebook обходить встроенную функцию, которая запрещает автоматически запускать элементы Flash на страницах сайтов. Файл представляет собой «белый» список доменов, которым разрешается не спрашивать пользователя относительно запуска Flash-контента.

Изначально об этом файле стало известно благодаря отчету эксперта проекта Google Project Zero Ивана Фратрика, который был опубликован 26 ноября.

В частности, Фратрик писал:

«В системах Microsoft Windows присутствует файл C:\Windows\system32\edgehtmlpluginpolicy.bin, содержащий белый список доменов, которым разрешено загружать Flash-контент без согласия пользователя браузера Microsoft Edge. Таким образом, этот механизм предназначен для обхода защиты “click2play“, которая подразумевает, что пользователь должен сознательно кликнуть на элементе, чтобы запустить его».

Нынешняя версия файла edgehtmlpluginpolicy.bin разрешет такое поведение только социальной сети Facebook. Следовательно, домены www.facebook.com и apps.facebook.com могут запускать Flash без разрешения пользователя.

Как известно, автозапуск Flash имеет определенные риски, из-за которых как раз были введены правила, допускающие запуск такого содержимого только с разрешения пользователя.

Стоит отметить, что оригинальный файл edgehtmlpluginpolicy.bin содержал 58 различных доменов, которые могли запускать потенциально опасный контент на страницах своих ресурсов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Байден рвётся в кибербой: США пообещали атаки против России

Запад пообещал в ближайшее время провести ряд кибератак, нацеленных на ИТ-системы, связанные с российскими властями. Таким образом, это станет ответом на действия Москвы, которую США не раз обвиняли в атаках (ни разу, кстати, не подкрепив свои обвинения вменяемыми доказательствами).

О готовящихся операциях в киберпространстве сообщило издание New York Times. Согласно опубликованной информации, «под раздачу» попадёт и Китай, в сторону которого также часто звучат обвинения в кибернападениях на сети США.

Вашингтон, судя по всему, считает, что проведение подобных ответных операций наглядно продемонстрирует странам-оппонентам отношение Байдена к противостоянию в цифровом пространстве. Дескать, мы тут не церемонимся.

Первые крупные шаги в этом направлении, по словам New York Times, Америка сделает в течение трёх недель. Вдогонку к кибератакам США пообещали подготовить ряд экономических санкций, которые также станут ответом на хакерские действия со стороны Кремля.

Напомним, что в конце октября 2020 года Запад обвинил российских киберпреступников во взломе государственных систем. В частности, участие Кремля в этой кибероперации подтвердили представители Агентства кибербезопасности и защиты инфраструктуры (CISA) США и ФБР.

В том же месяце президент России Владимир Путин выразил надежду на взаимодействие с США по части обеспечения кибербезопасности обеих стран. Глава РФ при этом подчеркнул, что Вашингтон ранее проигнорировал призыв возобновить сотрудничество в сфере кибербезопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru