Gli utenti del browser Web Microsoft Edge dispongono di una whitelist Flash segreta che consente l'esecuzione del contenuto Flash senza clic per riprodurre la protezione sui siti inclusi.
Microsoft Edge, il browser predefinito del sistema operativo Windows 10 di Microsoft, supporta Adobe Flash in modo nativo. Flash è impostato per il click-to-play nel browser e gli utenti possono disabilitare completamente Flash nelle impostazioni del browser.
Microsoft rilascia regolarmente aggiornamenti Flash il giorno della patch mensile dell'azienda per risolvere i problemi di sicurezza rilevati in Flash.
Recentemente è emerso che Microsoft ha implementato una whitelist di Flash che consentiva l'esecuzione di contenuti Flash su 58 domini diversi senza l'interazione dell'utente. I siti di quell'elenco includevano Deezer, Facebook, il portale MSN, Yahoo o QQ ma anche voci che non ci si aspetterebbe necessariamente da un simile elenco come un parrucchiere spagnolo.
Microsoft ha limitato l'elenco sull'aggiornamento di Patch Tuesday di questo mese a solo due voci di Facebook e ha imposto l'uso di HTTPS per questi siti dopo che un ingegnere di Google ha presentato una segnalazione di bug alla società alla fine del 2018.
Microsoft ha offuscato l'elenco e l'ingegnere di Google ha dovuto decifrarlo utilizzando un dizionario di nomi di dominio noti e popolari.
Secondo la segnalazione di bug, il contenuto Flash può essere caricato se è ospitato su uno dei domini autorizzati o se l'elemento Flash è più grande di 398x298 pixel.
Gli aggressori potrebbero sfruttare l'elenco per ignorare del tutto i clic per riprodurre le politiche o utilizzare le vulnerabilità XSS su alcuni dei siti inclusi. Microsoft Edge rispetta Flash Click per riprodurre i criteri su tutti gli altri siti. Gli utenti devono consentire l'esecuzione di contenuti Flash in Microsoft Edge su siti non autorizzati.
Non è chiaro perché Microsoft abbia aggiunto la whitelist; è possibile che lo abbia fatto per migliorare la compatibilità su determinati siti. Sebbene ciò abbia senso su siti importanti come Flashbook che ospitano ancora contenuti Flash, non è chiaro quali parametri Microsoft abbia usato per creare l'elenco.
L'elenco include alcuni siti arcade che ospitano giochi Flash, ma non elenca siti arcade altrettanto popolari che ospitano anche giochi Flash. È sconcertante che alcuni siti siano nell'elenco, mentre altri no. È possibile che siano stati aggiunti alcuni siti
Abbiamo contattato Microsoft per un commento, ma non abbiamo ancora ricevuto risposta. Aggiorneremo l'articolo se verranno alla luce ulteriori informazioni.
Parole di chiusura
È sconcertante che Microsoft aggiunga una whitelist Flash al suo browser Edge considerando che Microsoft non manca mai di evidenziare le funzionalità di sicurezza di Edge. Consentire ai siti di eseguire contenuti Flash senza l'autorizzazione dell'utente è estremamente problematico dal punto di vista della sicurezza anche su siti popolari.
Togliere il controllo e non rivelare il fatto agli utenti è estremamente problematico non solo dal punto di vista della sicurezza, ma anche quando si tratta di fiducia.
Ora tu : cosa ne pensi di questo?
