Sobre a lista de desbloqueio secreta do Flash do Microsoft Edge

O navegador Edge da Microsoft usa uma lista de desbloqueio secreta do Flash que permite que o conteúdo do Flash seja executado sem clicar para reproduzir a proteção nos sites incluídos.

O Microsoft Edge, o navegador padrão do sistema operacional Windows 10 da Microsoft, suporta o Adobe Flash nativamente. O Flash está definido para clicar para reproduzir no navegador, e os usuários podem desativar o Flash completamente nas configurações do navegador.

A Microsoft libera atualizações do Flash regularmente no dia mensal do patch da empresa para corrigir problemas de segurança descobertos no Flash.

Recentemente, soube que a Microsoft implementou uma lista de permissões do Flash que permitia a execução de conteúdo em 58 domínios diferentes sem a interação do usuário. Os sites dessa lista incluíam o Deezer, o Facebook, o portal do MSN, o Yahoo ou o QQ, mas também as entradas que não se esperaria necessariamente em uma lista como um salão de cabeleireiro espanhol.

A Microsoft limitou a lista da atualização do Patch Tuesday deste mês a apenas duas entradas do Facebook e aplicou o uso de HTTPS para esses sites depois que um engenheiro do Google registrou um relatório de bug na empresa no final de 2018.

A Microsoft ofuscou a lista e o engenheiro do Google precisou decifrá-la usando um dicionário de nomes de domínio conhecidos e populares.

De acordo com o relatório de erros, o conteúdo do Flash poderá ser carregado se estiver hospedado em um dos domínios da lista de permissões ou se o elemento Flash for maior que 398x298 pixels.

Os invasores podem explorar a lista para ignorar completamente as políticas de clique para reproduzir ou usar vulnerabilidades XSS em alguns dos sites incluídos. O Microsoft Edge respeita as políticas de clique para reproduzir o Flash em todos os outros sites. Os usuários precisam permitir a execução de conteúdo em Flash no Microsoft Edge em sites que não estão na lista de permissões.

Não está claro por que a Microsoft adicionou a lista de permissões; é possível que tenha feito isso para melhorar a compatibilidade em sites selecionados. Embora isso faça sentido em sites importantes como o Flashbook que ainda hospedam conteúdo em Flash, não está claro quais parâmetros a Microsoft usou para criar a lista.

A lista apresenta alguns sites de arcade que hospedam jogos em Flash, mas não lista sites de arcade igualmente populares que também hospedam jogos em Flash. É surpreendente que alguns sites estejam na lista, enquanto outros não. É possível que alguns sites tenham sido adicionados

Entramos em contato com a Microsoft para comentar, mas ainda não recebemos resposta. Atualizaremos o artigo se surgirem informações adicionais.

Palavras finais

É desconcertante que a Microsoft adicione uma lista branca do Flash ao seu navegador Edge, considerando que a Microsoft nunca falha ao destacar os recursos de segurança do Edge. Permitir que sites executem conteúdo em Flash sem a permissão do usuário é altamente problemático do ponto de vista da segurança, mesmo em sites populares.

Tirar o controle e não divulgar o fato aos usuários é altamente problemático, não apenas do ponto de vista da segurança, mas também quando se trata de confiança.

Agora você : Qual a sua opinião sobre isso?