Peramban web Microsoft's Edge pengguna daftar putih Flash rahasia yang memungkinkan konten Flash berjalan tanpa klik untuk memainkan perlindungan di situs yang disertakan.
Microsoft Edge, browser default sistem operasi Microsoft Windows 10, mendukung Adobe Flash secara asli. Flash diatur ke klik untuk bermain di browser, dan pengguna dapat menonaktifkan Flash sepenuhnya dalam pengaturan browser.
Microsoft merilis pembaruan Flash secara teratur pada hari tambalan bulanan perusahaan untuk memperbaiki masalah keamanan yang ditemukan di Flash.
Baru-baru ini terungkap bahwa Microsoft menerapkan daftar putih Flash yang memungkinkan konten Flash berjalan di 58 domain berbeda tanpa interaksi pengguna. Situs-situs dalam daftar itu termasuk Deezer, Facebook, portal MSN, Yahoo, atau QQ tetapi juga entri-entri yang orang tidak perlu mengharapkan daftar seperti itu seperti salon rambut Spanyol.
Microsoft membatasi daftar pembaruan Patch Tuesday bulan ini hanya untuk dua entri Facebook dan memberlakukan penggunaan HTTPS untuk situs-situs ini setelah seorang insinyur Google mengajukan laporan bug dengan perusahaan pada akhir 2018.
Microsoft mengaburkan daftar dan insinyur Google harus memecahkannya menggunakan kamus nama domain yang dikenal dan populer.
Menurut laporan bug, konten Flash diizinkan untuk memuat jika di-host di salah satu domain yang masuk daftar putih atau jika elemen Flash lebih besar dari 398x298 piksel.
Penyerang dapat mengeksploitasi daftar untuk memotong klik untuk memainkan kebijakan sepenuhnya atau menggunakan kerentanan XSS pada beberapa situs yang disertakan. Microsoft Edge menghormati Flash klik untuk memainkan kebijakan di semua situs lain. Pengguna harus mengizinkan eksekusi konten Flash di Microsoft Edge di situs yang tidak masuk daftar putih.
Tidak jelas mengapa Microsoft menambahkan daftar putih; ada kemungkinan hal itu dilakukan untuk meningkatkan kompatibilitas pada situs tertentu. Sementara itu masuk akal di situs-situs besar seperti Flashbook yang masih meng-host konten Flash, tidak jelas parameter mana yang digunakan Microsoft untuk membuat daftar.
Daftar ini menampilkan beberapa situs arcade yang meng-host game Flash, tetapi tidak mencantumkan situs arcade yang sama-sama populer yang juga meng-host game Flash. Sangat membingungkan bahwa beberapa situs ada di daftar sementara yang lain tidak. Ada kemungkinan beberapa situs ditambahkan
Kami menghubungi Microsoft untuk memberikan komentar tetapi belum mendapat tanggapan. Kami akan memperbarui artikel jika informasi tambahan terungkap.
Kata Penutup
Sungguh membingungkan bahwa Microsoft akan menambahkan daftar putih Flash ke browser Edge-nya mengingat Microsoft tidak pernah gagal untuk menyoroti fitur keamanan Edge. Mengizinkan situs untuk menjalankan konten Flash tanpa izin pengguna sangat bermasalah dari sudut pandang keamanan bahkan di situs populer.
Mengambil kendali dan tidak mengungkapkan fakta kepada pengguna sangat bermasalah tidak hanya dari sudut pandang keamanan tetapi juga ketika datang ke kepercayaan.
Sekarang Anda : Apa pendapat Anda tentang ini?
