據(jù)Ghacks消息，微軟Edge瀏覽器使用了一個秘密的FlashPlayer白名單，支持網(wǎng)站默認加載Flash內(nèi)容，而無需經(jīng)過用戶同意。

作為Windows 10系統(tǒng)的默認瀏覽器，Edge本身支持Adobe Flash，用戶在瀏覽器中單擊詢問對話框即可播放，也可以完全禁用Flash。最近曝光的消息顯示，微軟為Edge瀏覽器設(shè)置了一個白名單，58個域名上的Flash內(nèi)容可以無需詢問用戶，自行加載。

這些網(wǎng)站大部分是門戶網(wǎng)站，比如Facebook、MSN、QQ空間、4399、嗶哩嗶哩等。微軟對該列表進行了模糊處理，谷歌工程師只能使用已知的、流行的域名字典來破解。

▲白名單中的部分域名

根據(jù)報道，若Flash內(nèi)容托管在其中一個列入白名單的域中，或者其Flash元素大于398x298像素，則允許加載Flash內(nèi)容。報道稱，這個白名單的危險之處在于，攻擊者可以利用其列表，完全繞過點擊播放策略，或在某些包含在其中的網(wǎng)站上使用XSS漏洞。

Adobe已經(jīng)計劃，在2020年底停止對Flash Player最終支持，并不再分發(fā)該軟件。雖然Flash可繼續(xù)使用，但它仍然是計算機面臨的最大安全風(fēng)險之一。據(jù)報道，微軟創(chuàng)建此列表的參數(shù)標(biāo)準(zhǔn)尚不清楚，微軟也還沒有對此事進行回應(yīng)。