Edge’dagi yashirin fayl Facebook’ga foydalanuvchi ruxsatisiz Flash kontentini ishga tushirish imkonini beradi.
O’tgan yilning noyabr oyi holatiga ko’ra, 58 ta domen Flash kontentini ishga tushirishga ruxsat olgan.
Xavfsizlik bo’yicha tadqiqotchi Ivan Fratric Microsoft Edge brauzerida Facebook’ga o’rnatilgan xavfsizlik siyosatini chetlab o’tish va foydalanuvchi ruxsatisiz Flash kontentini ishga tushirish imkonini beruvchi yashirin faylni topdi.
«Microsoft Windows tizimida C:\Windows\system32\edgehtml\plugin\policy.bin nomli fayl mavjud bo’lib, unda Flash click2play-ni chetlab o’tib, foydalanuvchi tasdiqisiz Microsoft Edge-ga Flash kontentini yuklashi mumkin bo’lgan domenlar ro’yxati mavjud», dedi Fratrick.
Tadqiqotchi zaiflikni o’tgan yilning noyabr oyida aniqladi. O’sha paytda Windows 10 (1803 versiyasi) uchun ro’yxat ellik sakkizta domenning sha256 xeshlaridan iborat edi. Fratrick ulardan ellik oltitasining nomlarini shifrlashga va olishga muvaffaq bo’ldi.
Microsoft fevral oyidagi xavfsizlik yangilanishlari bilan muammoni qisman hal qildi, xavfsizlik siyosatini chetlab o’tishga ruxsat berilgan domenlarning joriy ro’yxatini faqat ikkita Facebook domeni (www.facebook.com va apps.facebook.com) bilan chekladi. Kompaniya shuningdek, o’rtadagi odam hujumlarining oldini olish uchun ro’yxatga qo’shilgan barcha domenlar uchun HTTPS qo’llab-quvvatlashini majburiy qildi.
Nima uchun domenlar shifrlangan va nima uchun Facebook hali ham ro’yxatda ekanligi haqidagi savollarga faqat Microsoft javob bera oladi.
