CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Skjult liste i Microsoft Edge tillader Facebook at afvikle Flash automatisk

Microsofts Edge-browser har en indbygget skjult liste over domæner, som kan omgå den indbyggede sikkerhedsfunktion. På den måde kan ukendt Flash-indhold på Facebook automatisk afspilles, uden at brugeren har sagt god for det.

22. februar 2019 kl. 12.46
Niels Veileborg Niels Veileborg Debatredaktør

Normalt kan det ikke lade sig gøre at auto-køre Adobe Flash-indhold i Microsofts Edge-browser - det kræver en manuel handling fra brugeren.

Men nu viser det sig, at Edge har en indbygget såkaldt white list med domæner, som kan omgå denne indbyggede sikkerhedsfunktion kaldet clik2play, skriver Bleeping Computer.

Listen blev opdaget og rapporteret 26. november 2018 af security researcher Ivan Fratic, der arbejder for Google Project Zero.

Stien til listen er ‘C:\Windows\system32\edgehtmlpluginpolicy.bin’, og den indeholdt oprindelig en lang krypteret liste med i hvert fald 56 domæner, der under visse forhold kunne afvikle Flashindhold uden tilladelse fra brugeren.

Ivan Fratic skriver i sin indberetning på bugs.chromium.org, at der er en lang række årsager til, at sådan en white liste udgør en sikkerhedsrisiko:

“- An XSS vulnerability on any of the domains would allow bypassing click2play policy.

-There are already *publicly known* and *unpatched* instances of XSS vulnerabilities on at least some of the whitelisted domains

-The whitelist is not limited to https (this wouldn't work anyway as some of the whitelisted domain don't support https at all). Even in the absence of an XSS vulnerability, this would allow a MITM attacker to bypass the click2play policy”, skriver han.

Microsoft meddelte i december, at selskabet skiftede motor under Edge-browseren og droppede sin egen renderings engine EdgeHTML til fordel for open source-platformen Chromium.

Det kan du læse mere om her: Hejser det hvide flag: Derfor overgiver Microsoft sig i den store browserkrig om internettet

Ivan Fratic skriver også, at listen over domæner er meget bred og indeholder sites, som han personligt ikke ville forvente at finde på sådan en liste.

Eksempelvis optræder en spansk frisørsalon på listen (www.dgestilistas.es)

Microsoft har i den seneste patch tuesday-opdatering af Windows 10 v1803 håndteret sagen i den forstand, at white listen nu kun indeholder to domæner, nemlig https://www.facebook.com og https://apps.facebook.com

Indtil videre har Microsoft ikke meldt noget officielt ud om, hvorfor listen i første omgang var krypteret, og hvorfor Facebook selv efter den seneste opdatering fortsat findes på listen, skriver Bleeping Computer.




Navnenyt fra it-danmarkVis alle »
Emma Norinder
Emma Norinder
Kristoffer Rudkjær
Kristoffer Rudkjær
Mikkel Knop
Mikkel Knop
Rasmus Bahr Larsen
Rasmus Bahr Larsen

Frederik Lundager Lang Muhs
Frederik Lundager Lang Muhs
Mikkel Eklund
Mikkel Eklund
Lina Kjeldsen
Lina Kjeldsen
Anna Olivia Højer Hansen
Anna Olivia Højer Hansen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Skab værdi med produktkonfiguration i Dynamics 365

Deltag i dette webinar og lær, hvordan du kan skabe øget værdi gennem produktkonfiguration med Microsoft Dynamics 365 standard konfigurator og Easy Creator. Eksperter fra CGI vil dele deres indsigt i, hvordan produktkonfiguration kan optimere processer, forbedre kvalitet og øge kundetilfredshed.

05. februar 2025 | Læs mere

Sådan automatiserer du med Copilot

Høst fordelene og sæt strøm til processerne med Microsofts alsidige AI-assistent.

06. februar 2025 | Læs mere

Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Få indblik i, hvordan du planlægger, designer og drifter dit datacenter, så det kan følge med virksomhedens vækst, støtter bæredygtighedsindsatsen og lever op til krav om effektiv datahåndtering.

25. februar 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Asger Højen Danielsen
Asger Højen Danielsen og Ejvind Jørgensen
David Guldager
David Guldager
Lasse Garby
Lasse Garby
Jim Nielsen
Jim Nielsen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Lars Berlau
Lars Berlau
Jan Peter Madsen
Jan Peter Madsen og Lars Jørgensen
opinion
Asger Højen Danielsen og Ejvind Jørgensen
Asger Højen Danielsen og Ejvind Jørgensen
Hvordan får forretningen Danmark mere ud af sine stigende it-omkostninger?
Læs indlæg
Artikel teaser billede

David Guldager

Guldager: 2025 bliver agenternes år - bryd ud og lad agenten gøre arbejdet for dig

Artikel teaser billede

Lasse Garby

Der er brug for både stok, gulerod og skolebænk, hvis CSRD-direktivet skal blive en dansk succes

Artikel teaser billede

Jim Nielsen

Desinformationens Dr. Doom og den mørke fyrste i det galaktiske imperium

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Skal vi satse på open source eller amerikansk big tech i denne urolige tid?

Mest læste klummer og blogs
Desinformationens Dr. Doom og den mørke fyrste i det galaktiske imperium
Klumme: I dag tiltræder Trump som USA's præsident, og for første gang er tech-verdenen direkte repræsenteret helt i magtens inderkreds med first buddy Elon Musk. Hvorfor kommer jeg til at tænke på 007-universet?
Af: Jim Nielsen
Guldager: 2025 bliver agenternes år - bryd ud og lad agenten gøre arbejdet for dig
Klumme: Snart kommer der til at være en agent på hvert virtuelle gadehjørne du måtte kigge efter. Agenter, der er knap så inkognito, men mere noget som hjælper dig til at få udført dit arbejde. Kunstig intelligens tager næste år sit næste store hop, er min forventning.
Af: David Guldager
Her er nogle ting vigtige ting at være opmærksom på, når AI kommer buldrende
Klumme: Når du læser eller lytter til en bog, lærer du noget. Når du skal gengive det, du har læst, lærer du endnu mere. Når du sætter en AI til at skrive en tekst, lærer du ingenting.
Af: Jonathan Løw
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Skal vi satse på open source eller amerikansk big tech i denne urolige tid?
opinion Jonathan Løw
Her er nogle ting vigtige ting at være opmærksom på, når AI kommer buldrende
Læs indlæg

Premium
Teaser billede
Skal stå for implementeringen af stor EU-lovpakke i Danmark: Sådan kommer det til at ske
Læs mere »
Keld er chef for it-afdeling med 250 medarbejdere: Nu rykkes han helt op i direktionen i Jysk med 31.000 ansatte - får ny titel
Med software kommer opdatering af dansk simulator til at koste 125 millioner kroner
Advarsel: Donald Trumps fiksfakserier kan gøre amerikanske cloud-tjenester knaldende ulovlige i Europa
Se alle »
Computerworld
Teaser billede
Gratis og helt lovligt: Her kan du læse magasiner og aviser fra hele verden
Læs mere »
Test: Hurra - den billigste Mac er nu faktisk også den bedste
Nørgaard: Skal vi satse på open source eller amerikansk big tech i denne urolige tid?
Test: Det her er nok det bedste allround-tv, som du kan købe lige nu
Se alle »
CIO
Teaser billede
Region Midtjylland dropper LibreOffice: Flytter 36.000 medarbejdere over på Microsoft 365
Læs mere »
Traf afgørende beslutning i 00'erne: Nu høster Salling Group frugterne af sin ERP-strategi
Skifte væk fra mainframe handlede først om pris – så indså Visma Enterprise, at gevinsten var noget helt andet
I dag træder ny stor sikkerhedslov fra EU i kraft: Dora-forordningen er nu gældende lov
Se alle »
Job & Karriere
Teaser billede
Merete Søby klar med nyt top-job efter pludselig exit fra Schultz: Her er hendes nye job
Læs mere »
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Dansk headhunter: Dette spørgsmål bliver jeg næsten altid stillet, når jeg forsøger at rekruttere it-folk
Se alle »
White paper
Teaser billede
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Læs mere »
Sådan: Én løsning til compliance, sikkerhed og overblik
Sæt professionel døgnvagt på din it-infrastruktur
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »