Microsoft menghapuskan senarai putih Flash rahsia selepas Google menunjukkan rasa tidak selamatnya

Pada tahun 2017, Microsoft menukar pelayar Edgenya supaya kandungan Flash akan diklik untuk dikendalikan (atau dilumpuhkan secara terang-terangan) pada hampir setiap laman web di Web. Sejumlah laman web akan dimasukkan ke dalam senarai putih, bagaimanapun, kerana gabungan kebergantungan Flash dan populariti yang tinggi.

Senarai putih itu bertujuan untuk menjadikannya lebih mudah untuk berpindah ke dunia menggunakan HTML5 untuk kandungan interaktif yang kaya dan untuk menghadkan kesan sebarang kelemahan Flash masa depan. Pada masa yang sama, senarai itu masih akan membenarkan laman web yang mengandungi kandungan yang bergantung kepada Flash untuk terus berjalan. Jika hanya beberapa laman yang dipercayai boleh menjalankan kandungan Flash secara lalai, ia harus lebih sukar bagi pelaku buruk untuk memanfaatkan kelemahan Flash. Pendekatan yang serupa digunakan oleh penyemak imbas lain; Sebagai contoh, Google telah melayari laman web menggunakan Flash atas 10 untuk satu tahun selepas menukar Chrome ke "klik untuk jalankan."

Tetapi Google menggambarkan bagaimana senarai putih Edge bekerja (melalui ZDNet) dan mendapati bahawa pelaksanaannya membuat sesuatu yang diinginkan. Senarai 58 tapak (56 di antaranya telah dikenal pasti oleh Google) termasuk beberapa yang tidak mengejutkan; banyak penyertaan adalah laman web dengan banyak permainan Flash, termasuk Facebook. Yang lain kelihatan lebih pelik; Sebagai contoh, salun rambut Sepanyol telah disenaraikan.

Daripada laman-laman ini, beberapa daripada mereka mempunyai pepijat skrip rentetan tapak yang luar biasa, tanpa henti. Dengan kelemahan ini, penyerang boleh menyuntik kod ke dalam halaman dan mempunyai kod tersebut muncul dari laman web yang dipersoalkan. Kod ini boleh pula digunakan untuk memuatkan kandungan Flash yang dieksploitasi pepijat dalam pemain Flash. Lebih-lebih lagi, beberapa laman web tidak menyokong sambungan selamat, yang bermaksud bahawa ia akan menjadi mudah untuk merosakkan lalu lintas mereka untuk menyuntik kandungan Flash yang bermusuhan juga.

Google sepatutnya melaporkan pepijat itu kepada Microsoft, dan kemas kini Patch Selasa minggu lalu memecahkan senarai putih itu. Sekarang, hanya dua domain dibenarkan memuatkan kandungan Flash-www.facebook.com dan apps.facebook.com-dan domain tersebut hanya boleh memuatkan kandungan Flash apabila diakses dengan selamat melalui HTTPS. Kandungan Flash juga harus lebih besar daripada 398 × 298 piksel, yang bermaksud ia harus menjadi ciri utama halaman dan bukannya sesuatu yang tersembunyi untuk mengeksploitasi seseorang.

Tonton video itu: CS50 2016 Week 0 at Yale pre-release (April 2020).