Microsoft的Edge Web浏览器附带一个隐藏的白名单文件，可让Facebook绕过嵌入的即点即用安全政策，无需征得用户同意自动运行Flash内容。

Google Project Zero的Ivan Fratric在11月26日提交的初步漏洞报告中称：

Microsoft Windows中文件“C：\ Windows \ system32 \ edgehtmlpluginpolicy.bin”中包含默认白名单的域，其可绕过Flash click2play、在Microsoft Edge中无需获取用户确认便对Flash内容进行加载。

当前版本的秘密Edge白名单仅允许Facebook在www.facebook.com和apps.facebook.com域上绕过Flash点击点击播放政策，而其他不存在的域则不在此列表。

在其报告中，安全研究人员还强调，让Flash自动运行白名单与Web浏览器捆绑在一起存在的安全隐患，特别是考虑到Adobe发布的Flash安全补丁数量。

此白名单的诸多不安全原因：

任何域上的XSS漏洞都允许绕过click2play政策。

至少在一些列入白名单的域中已经存在“已知公开”和“未修补”的XSS漏洞实例，如https://www.openbugbounty.org/reports/582253/和https：//www.openbugbounty.org / reports / 444528 /以及https://www.openbugbounty.org/reports/130555/

白名单不限于https（这也没啥影响，因为一些白名单域根本不支持https）。即使没有XSS漏洞，MITM攻击者还是会绕过click2play政策。

微软在本月的“周二补丁”通过将白名单削减少到两个Facebook域、并通过添加HTTPS支持作为白名单上所有条目的要求来减少MITM攻击的可能性、解决Fratric报告的部分问题。

然而，早在11月，安全研究人员最初在白名单中发现了Windows 10 v1803上58个域的sha256哈希，他能以此解密并获得56个站点。

原始Microsoft Edge Flash白名单中所有58个条目如下：

将条目加密加到白名单的的选择和本月的“星期二补丁”之后依然保持Facebook域名列入白名单的决定也是微软要回答的两个问题。

使用Flash白名单，微软不是第一个。2015年6月期间，还发现曾将NoScript的几十个域列入了白名单，这些域可以执行Flash、Java和/或JavaScript内容，但Firefox附加组件阻止了不在其名单中的域运行此类内容。

本文转自mottoin，作者Gump，点击查看原文