Facebook के पास एज में एक गुप्त दरवाजा खुला है जो इसे उपयोगकर्ता को जाने बिना फ्लैश चलाने की अनुमति देता है

क्या आप अपने डेटा की निजता को लेकर चिंतित हैं? रुकिए क्योंकि मोड़ आ रहे हैं। एक सुरक्षा शोधकर्ता ने माइक्रोसॉफ्ट के वेब ब्राउजर एज को प्रभावित करने वाली एक खामी का पता लगाया है। क्रोमियम-आधारित रेंडरिंग इंजन पर जाने के लिए हॉटफ़िक्स की प्रतीक्षा करते समय, एज के लिए समस्याएँ बनी रहती हैं।

अलर्ट, जैसा कि अन्य अवसरों पर होता है, Google प्रोजेक्ट ज़ीरो से आता है, जो एप्लिकेशन और ऑपरेटिंग सिस्टम में बग और अंतराल की जांच और पता लगाने का प्रभारी विभाग है। और इस मामले में इवान फ्रैट्रिक, (@ifsecure) ने एज में एक बग का पता लगाया है जो Flash कोड को निष्पादित करने की अनुमति देता है उपयोगकर्ता को इसके बारे में जाने बिना।

फ़्लैश के लिए मुफ़्त बार

कुछ पृष्ठभूमि पाने के लिए, हमें 2018 के अंत तक समय में वापस जाना होगा। Google Project Zero उन्हें एक सफेद सूची मिली(श्वेत सूची) एज में। यह एक सूची है जो उसी तरह काम करती है जैसे हम _स्मार्टफ़ोन_ पर उपयोग कर सकते हैं, सिवाय इसके कि टेलीफ़ोन नंबरों का उपयोग करने के बजाय यह वेब सेवाओं का उपयोग करता है।

कुल मिलाकर, इस सूची ने हमारी टीमों को मुफ्त पहुंच प्रदान की ताकि सभी प्रकार की 58 वेबसाइटों तक एडोब फ्लैश पर आधारित कोड चलाया जा सकेऔर यह सब, निश्चित रूप से, प्रभावित पक्ष को इसकी कोई जानकारी के बिना। यही समस्या थी।

"

Microsoft को समस्या के बारे में बताया गया, एज को पैच किया गया और हालांकि उन्होंने समस्या की जड़ को सुलझा लिया, वे सभी खतरों को समाप्त करने में असमर्थ थेउन्होंने दो वेबसाइटों को जारी रखा जिनके पास अभी भी फ्लैश चलाने की अनुमति थी।और वे दोनों फेसबुक के प्रभाव में थे। ये दो विशेषाधिकार प्राप्त डोमेन हैं:"

• https://www.facebook.com
• https://apps.facebook.com

"

इसका मतलब है कि कोई भी विजेट जो फ्लैश पर चलता है और इनमें से किसी भी डोमेन में शामिल है, Microsoft के सुरक्षा उपायों का उल्लंघन कर सकता हैइसके अलावा, फ्रैट्रिक ने स्वयं एक नए जोखिम की खोज की जिसके माध्यम से एज की दावा करने वाली क्लिकटोरन नीति को दरकिनार किया जा सकता है और जो उपयोगकर्ता को कंप्यूटर तक पहुंच का नियंत्रण प्रदान करती है। यह वह है जो इस प्रकार की सेवाओं के निष्पादन को स्वीकार या अस्वीकार कर सकता है। एक महत्वपूर्ण सुरक्षा छेद, क्योंकि फ्लैश कोड या तो इन डोमेन द्वारा या एक MITM (मैन इन द मिडल) हमले के माध्यम से भी निष्पादित किया जा सकता है।"

"

वेबसाइट पर नोटिस के अनुसार, _जब आप किसी ऐसी वेबसाइट पर जाते हैं जो विंडोज 10 क्रिएटर्स अपडेट के साथ माइक्रोसॉफ्ट एज के साथ ब्राउज़ करते समय फ्लैश सामग्री लोड करने का प्रयास करती है, तो आप देख सकते हैं कि वेबसाइट के कुछ पहलू नहीं हैं जिस तरह से आप उम्मीद करते हैं ठीक से काम नहीं करेंगे। यह अनपेक्षित व्यवहार फ़्लैश क्लिक-टू-रन_ सुविधा के कारण डिफ़ॉल्ट रूप से फ़्लैश अवरुद्ध होने का परिणाम हो सकता है। सैद्धांतिक रूप से यह इस तरह काम करता है"

एना टू एज

यह तथ्य विशेष रूप से गंभीर है, क्योंकि इसका मतलब है कि उपयोगकर्ता डेटा की सुरक्षा और अखंडता खतरे में है. और वैसे, यह एज की सुरक्षा नीतियों का खंडन करता है, जो इस प्रकार के अभ्यास के कपटपूर्ण उपयोग के खिलाफ लड़ती है।

"

यह एक अपकार है कि इस तरह की कार्रवाइयां एज के लिए करती हैं, नाजुक स्वास्थ्य में नेविगेटर जो पहले से ही देखता है कि माइक्रोसॉफ्ट ने कैसे सेट किया है मृत्यु तिथि जब विंडोज 10 अक्टूबर 2019 में नया एज अपडेट करना एक वास्तविकता है। "

वाया | ZDNet कवर छवि | iAmMrRob