/ Фото: Windows Central
В браузері Microsoft Edge експерти з Google виявили небезпечну помилку, яка призводить до автоматичного запуску Flash-контенту у Facebook. Помилка полягає в тому, що, незважаючи на обмеження правила click-to-play (запуск контенту тільки після натискання), у Edge це правило не спрацьовує, коли користувач перебуває в соціальній мережі без попереднього схвалення, повідомляє видання Хакер.
Помилку виявив експерт Google Project Zero Іван Фратрік. Він описував проблему як XSS-уразливість, яка дозволяла будь-якого сайту обійти правило click-to-play і запускати Flash-контент.
Після того як Фратрік повідомив інженерам Microsoft про помилку, в лютому вийшло виправлення, яке виправило переважну частину проблем. До лютого 2019 року таємний білий список містив 58 записів, у тому числі домени і піддомени офіційного сайту Microsoft, MSN, музичного сервісу Deezer, Yahoo і китайської соціальної мережі QQ. Однак залишилося лише два домени, на яких помилка все ще виявлялася.
Поточна версія Edge дозволяє Facebook виконувати будь-який Flash-контент розміром більше 398 × 298 пікселів і розміщений на https://www.facebook.com і https://apps.facebook.com. На думку фахівців, Edge дозволяє Facebook таку поведінку через численні старі Flash-ігри соціальної мережі.
Журналісти видання ZDNet наводять коментар представників Facebook. Ті стверджують, що ніколи не просили Microsoft про подібні вчинки і самі наголошують на видаленні доменів соціальної мережі з білого списку.
Як інтернет-шахраї крадуть наші гроші:
Нагадаємо, що раніше Microsoft викрили в брехні про швидкість браузерів – експерти засумнівалися в лідерстві Edge. З іншого боку, у браузера Edge з'явилася дуже корисна можливість - він навчився розпізнавати фейки в Інтернеті.