Microsoft Edge ยกเว้น Facebook ให้รันโค้ด Flash โดยไม่ต้องขออนุญาตผู้ใช้งาน

Ivan Fratric นักวิจัยด้านความมั่นคงปลอดภัยของ Google Prject Zero ได้รายงานพบการทำ Whitelist ใน Microsoft Edge ที่ยกเว้นให้โดเมนในนั้นสามารถบายพาสกลไกการป้องกันของตัวเองเพื่อรันโค้ด Flash ได้โดยไม่ต้องขออนุญาตผู้ใช้งานซึ่งแพตช์ล่าสุด (กุมภาพันธ์) ของ Microsoft ได้ทำการปรับแก้โดเมน 58 รายการเหลือเพียง 2 โดเมนของ Facebook

credit : windowslatest.com

ไอเดียคือโดยปกติแล้ว Edge จะมีฟีเจอร์ป้องกัน เช่น Click-to-play ที่ป้องกันเว็บไซต์รันโค้ด Flash โดยปราศจากการสอบถามผู้ใช้ อย่างไรก็ตาม Fractic ได้เข้าไปพบกับไฟล์ Whitelist ที่ C:\Windows\system32\edgehtmlpluginpolicy.bin และได้รายงานปัญหาเข้ามาเมื่อวันที่ 26 พฤศจิกายน โดยครั้งแรกที่พบนั้นมีโดเมนได้รับการยกเว้นกว่า 58 รายการที่ถูก Hash แบบ sha256 ไว้ซึ่งนักวิจัยให้เหตุผลว่าการทำเช่นนี้จะส่งผลต่อความมั่นคงปลอดภัยดังนี้

credit : Bleepingcomputer

สำหรับแพตช์ล่าสุดทาง Microsoft จึงได้ปรับแก้ลิสต์ของโดเมนเหลือเพียง 2 รายการ รวมถึงเพิ่มการรองรับ HTTPS เป็นความต้องการเบื้องต้นเพื่อป้องกันการโจมตีแบบ Man-in-the-Middle อย่างไรก็ดีประเด็นคือยังไม่มีเหตุผลว่าทำไมจึงต้องยกเว้นให้ Facebook สามารถลัดผ่านการป้องกันเช่นนี้อยู่และใครเป็นคนจัดการลิสต์นี้ทีมงานด้านความมั่นคงปลอดภัยของบริษัทเองรู้เห็นด้วยหรือไม่ นี่คือคำถามที่ Microsoft ยังไม่ออกมาชี้แจง ดังนั้นใครไม่สะดวกใจก็มองหา Browser อื่นได้ครับขนาด Microsoft ยังบอกเลย (ข่าวเก่าจาก TechTalkThai)

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-edge-secret-whitelist-allows-facebook-to-autorun-flash/ และ https://www.zdnet.com/article/microsoft-edge-lets-facebook-run-flash-code-behind-users-backs/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บรรยากาศงานสัมมนา The SAP S/4HANA Movement

จบกันไปแล้วกับงาน The SAP S/4HANA Movement อีกหนึ่งงานสัมมนาที่ทางทีมงาน ISS Consulting ร่วมกับ SAP Thailand จัดขึ้นเพื่อให้ผู้บริหารจากองค์กรธุรกิจต่างๆ ที่ปัจจุบันใช้ระบบ ERP ของ SAP เวอร์ชั่นตั้งแต่ ECC6 ลงมา ได้มารับฟังถึงแนวทางการปรับเปลี่ยนระบบ ERP จากเดิมไปสู่ SAP S/4HANA เพื่อเตรียมความพร้อมที่จะเข้าสู่การเป็น Digital Business ที่สามารถนำข้อมูลธุรกิจมาใช้งาน วิเคราะห์ และต่อยอดได้อย่างรวดเร็วคล่องตัว

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้