據(jù)Ghacks消息，微軟Edge瀏覽器使用了一個(gè)秘密的FlashPlayer白名單，支持網(wǎng)站默認(rèn)加載Flash內(nèi)容，而無(wú)需經(jīng)過(guò)用戶(hù)同意。

作為Windows 10系統(tǒng)的默認(rèn)瀏覽器，Edge本身支持Adobe Flash，用戶(hù)在瀏覽器中單擊詢(xún)問(wèn)對(duì)話(huà)框即可播放，也可以完全禁用Flash。最近曝光的消息顯示，微軟為Edge瀏覽器設(shè)置了一個(gè)白名單，58個(gè)域名上的Flash內(nèi)容可以無(wú)需詢(xún)問(wèn)用戶(hù)，自行加載。

這些網(wǎng)站大部分是門(mén)戶(hù)網(wǎng)站，比如Facebook、MSN、QQ空間、4399、嗶哩嗶哩等。微軟對(duì)該列表進(jìn)行了模糊處理，谷歌工程師只能使用已知的、流行的域名字典來(lái)破解。

▲白名單中的部分域名

根據(jù)報(bào)道，若Flash內(nèi)容托管在其中一個(gè)列入白名單的域中，或者其Flash元素大于398x298像素，則允許加載Flash內(nèi)容。報(bào)道稱(chēng)，這個(gè)白名單的危險(xiǎn)之處在于，攻擊者可以利用其列表，完全繞過(guò)點(diǎn)擊播放策略，或在某些包含在其中的網(wǎng)站上使用XSS漏洞。

Adobe已經(jīng)計(jì)劃，在2020年底停止對(duì)Flash Player最終支持，并不再分發(fā)該軟件。雖然Flash可繼續(xù)使用，但它仍然是計(jì)算機(jī)面臨的最大安全風(fēng)險(xiǎn)之一。據(jù)報(bào)道，微軟創(chuàng)建此列表的參數(shù)標(biāo)準(zhǔn)尚不清楚，微軟也還沒(méi)有對(duì)此事進(jìn)行回應(yīng)。