微软的Edge浏览器包含一个秘密白名单,允许包括Facebook在内的域名直接绕过Edge的安全功能运行Adobe Flash代码。例如Edge中的点击播放策略,该安全策略通常会阻止网站在未经用户事先批准的情况下运行flash代码。
在2019年2月之前,这个秘密的白名单包含了58个实体,包括微软主域名和子域名、MSN的门户网站、音乐流媒体服务Deezer、雅虎和中国社交网站QQ,除此之外还有几十个网站。
本月早些时候,在一位谷歌安全研究人员发现了这个白名单机制中的几个安全漏洞后,微软将该名单数量缩减到了只有两个Facebook域名。
而发现这份白名单的谷歌安全研究员Ivan Fratric也对外公开了他在白名单上发现的漏洞:
白名单上任何域名上的XSS漏洞都可以绕过
click2play
安全策略(或是运行恶意Flash代码)某些白名单中的域名已出现存在XSS漏洞(包括一些公开且还未修补漏洞)
白名单不仅限于HTTPS。中间人攻击也可借此绕过
click2play
安全策略。
Fratric去年11月就已经向微软提交了关于白名单的漏洞报告,直到这个月,微软才发布相关的安全更新,将白名单从58个URL缩小为两个域名,并对名单中的所有域强制使用https访问。提交漏洞报告还包含原始白名单。
hash:permissions:cleartext
01d004ae59fe9d0902b0e4526999432118199654f78b0384e4eb983e986d562d:3:www.pogo.com
0309388894379c1e0d01081f6f4d5d4412a82dc5b9bd66476de2270b361cecfd:1:www.wasu.cn
0ae9eeba3229fa449ff5fcf42692cad2305e14933a6102187e94c48346ab8c9d:1:www.tvnow.de
0bc8e61a5970eb325f02148c05b79d60a9a0462efc18a6a60b7f8cd2dc84ccbc:1:chushou.tv
0bfc80d67c9b57f3f1bb978344c8d8d6ac19786e261f98c1c9735f6ba5ec344c:1:more2.starfall.com
1136593de37540f6f5396fdbbf93aa070c2b1c844d2d3d06de5373831a9df3bf:1:loa.gtarcade.com
12055be963e0f2c7786d1283d343afbaac921513a985a21f5f83b6a82b9582e9:1:nseindia.com
12c3d9b1a0a1f33a7d7ab1b4ccb53c1163210ee527ad5336175eb40ff1fcfe45:1:
2135e9b55346dd4146bbfae6f0cc896a39688d3287a952f63ae222837e5de152:1:www.wgt.com
22af4cad3e57873a50693fe36d6385795ae6c56e4d0d759530f263db571a6b2c:1:netgauge.unitel.ao
2df0e6efc506a72a4c9e91ebebe70cf8252f1ffbd8b483043b1a856b75d13ce9:1:www.icourses.cn
2f87a652a9d2880a3ad580ec4a91bde3f4d2d32ac8f792d4258518d46330870f:1:www.la7.it
2f9f879f017ebe4d6f71a0755eee3b08a5f757c0d011112ded94e6b337b3b520:1:www.dgestilistas.es
348374ff89afe5693015c3d38758c83867c180a8010372a564c8f5eeaf9b5d0b:1:www.zxxk.com
3c23924f2f71c05d3b484fbaaa6e4ab4319d5bb3f0a002688132aa0f8434fd3b:1:weathernews.jp
46bdf3a01ab608d1a5e68923532e610ff7725a68d4bb063c96c8dedd4617404a:9:bigfarm.goodgamestudios.com
4740f56f40ed20eddb576ae29fdf0c507dd06681e949bda8be5611eaf3ad9d3d:1:www.facebook.com
4779eb7f42cc6736ca2b1e52449799705214f2542fa4cf952e741d8dd5efad31:1:www.deezer.com
4f5db25a3bd2f1abf3dd1a509b2e1a6d81b9ba4428f333454c29d93e794150bc:1:
515563682e9bfc44b6fed4459149f83ba7f207bf53f6a0208156ac7c46e59d92:1:yahoo-mbga.jp
51bfa3e340a5ff7dfa37ad7ad409e5a214caadd0f82fc1fef82d38b766c2f088:1:ok.ru
563d53ee90b355ebd7558c2d9f3bee94489d406c565f9ed5741fb59bbc734544:1:seer.61.com
5b13e0a388860a0f136eefdd36d2f57fb81f46588ca85e7d93a4fd24cf6462f8:9:empire.goodgamestudios.com
5e7fc524d10f21da23bc43f24de00967094d69d6f4ccda277fff7042024c3ce5:1:www.friv.com
5f832e1442b497050d79cd18b32de807e4201a3181929ade823112defa6c1079:1:video.baomihua.com
64e2991629e5e208874400bc1ea0161fb064f1c2397b1cedc3bb282ea3f4ee3b:1:hiztesti.turktelekom.com.tr
6793b64c0ccc547a01b8b6982318e25ae3dc0b91dfc09366c7f1f1b3a7fa127e:1:www.scholastic.com
68fc10e638f0bb2e25149d2ef8d3d87cf318bbf2de7c9aa74131d53e926fe79e:1:www.viz.com
881bcca2199248b7c82ed14cb1dbd6e87ac9ea899d1f9f02d13d29e837487782:1:www.dilidili.wang
89ac7d2d82b6a2ef952e3d627853180fb250167ed56b893647814e8374d4f5cd:1:games.aarp.org
900da7ee51cf43450699d9cd11e3cf6ba8d2d04d9d836cd359281d7791e328af:1:www.douyu.com
9adea347b4e793529c9a5e1a35e2aa7c88772b7e2a086d2d24a4f8ccbb20e3ac:1:rc.qzone.qq.com
9c97a59b30e879d3245139795adea4380f62e4e14149025f12f69eb3b532e518:1:www.nicovideo.jp
a2cf2fe6a8822459d81d15b1327b5bac601bafc460fafa716bc2dcc21e9ab50e:1:www.mynet.com
a77de76633b0717c62034512fb5c3fbb50633ad9b5ebef7a8acf180e455a3025:1:www.hotstar.com
ad973e7d68dd2c1a8e9f04886e34db40021e1e76eff3bbc53e7ab8934688a4ed:1:www.4399.com
b61f47eb2fc64b2ad7ee4ae780ea0ac1a886b4f02f1ec8da77db13f920b4874b:1:www.bilibili.com
ba33c2367ea9f0c66b5b3f345be68a0287a96ca797654c0bf9b2e584d2809ccb:1:www.msn.com
ba3bc78ec1f427cba6e22cbd63dae305814ca0f0740c0dbd494f804fcaef671a:1:zone.msn.com
c2fda282c3b5875eaeb6d27ecf62b995684d5739ba1e4082d265dd28dd98ef70:1:www.worldsurfleague.com
ca6efef88504373a9406ed9a31b430d6df8bb60ea630ac698b0d7c4dab0faf7a:1:www.stupidvideos.com
d833be74b7f95eb0ac133c5aa06c71b7792b5051b1a369740694e78525a4d872:4:entitlement.auth.adobe.com
dd0f56a6b1a1f2908f4ff45438ffa5e05679375ed0aade8e3ab36bf4c0bd40f4:1:video.fc2.com
dd2ab62df5da52e66844171efc4415a087cc1a8c432312d814a62da582f40e2d:1:www.ontvtime.ru
ddf38cb97def571ec55f58d372db15fe6ee01578adc85b1087823d239d758af8:1:apps.facebook.com
e2f07d2fb0e6beac78d55962dda9ebcedba6c3ba30bf83b0880fae69d29537bf:1:www.totaljerkface.com
e35635613116ae9266c41348d2f4978f093c2fe75ae91f010ad23c1be31b833c:1:www.hungamatv.com
e39ce3cd42a88216ff9060e8b136bdc153f52322f259321a5925e629659684f8:1:edu.glogster.com
e4003a967100eb3a92e9148a51e7cd302e6ca4bcc34566c671378a4b0756ef66:1:v.pptv.com
e4dcd660eae7eeb1ea42050b6dcb108a9bedf1a66e3791438c6abe1efc907e1b:1:life.pigg.ameba.jp
e57c8c0083d4ea6fb4b390682d8ad3dffaeda2d37d1c11b9d29418b4a318e1a9:1:www.panda.tv
e7bce4b54da6dda25cabbe9da2359fe2833c94ec1ce3edd67077a089ed76ef31:1:www.vudu.com
e9ce06c9a6a05878802f64fac17399cc0a8452c652403445995a90dc9b19401d:1:www.nseindia.com
ef7f6be560fb99cff749ac35415beeed4aa86f40e10138858289dde1284661c9:1:music.microsoft.com
f2313491b771d1180f9c4e9cf979820e276a7833859555976dbf4a529cb2189f:1:en.ikariam.gameforge.com
f4f46a8b3a55ffb3e3784e6743266ed8d7cd2fdd21f494a82e2772fc68590d1b:1:www.deraktionaer.tv
fcb0eec77983791a7eeb971a2320f38cdbac2ca16cf3f418f83a00a4338eafd4:1:www.a1.net
fee3af1754656ed83ba706b46c6fa570b020ff79ad84b5adee4882fbf6adaf0e:1:www.poptropica.com
在最新的白名单中,Edge允许https://www.facebook.com
和https://apps.facebook.com
网站自动执行超过398x298像素大小的Flash部件。这主要是为了支持社交网络上大量的传统Flash游戏。
对于其他网站,现在都将需要遵循Edge的click2play
策略,这意味着未经用户许可,任何网站都不可执行Flash。
谷歌安全研究人员Fratric也在Twitter上对此事发表了评论,对白名单的管理机制感到非常疑惑。
“我完全搞不懂有些网站为什么会出现在白名单里。比如西班牙的理发师网站http://www.dgestilistas.es
!我想知道白名单到底是如何产生的,如果微软真的知道的话。”
Adobe前阵子曾宣布会在2020年退出市场。而微软也已经宣布浏览器引擎将更换为谷歌的Chromium。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/microsoft-edge-lets-facebook-run-flash-code-behind-users-backs/