Om Microsoft Edges hemliga Flash-vitlista

Microsofts Edge-webbläsare använder en hemlig Flash-vitlista som gör att Flash-innehåll kan köras utan klick för att spela skydd på inkluderade webbplatser.

Microsoft Edge, standardwebbläsaren i Microsofts operativsystem Windows 10, stöder Adobe Flash naturligt. Flash är inställt på att klicka för att spela i webbläsaren, och användare kan avaktivera Flash helt i webbläsarens inställningar.

Microsoft släpper regelbundet Flash-uppdateringar på företagets månatliga patchdag för att åtgärda säkerhetsproblem som upptäckts i Flash.

Nyligen kom det fram att Microsoft implementerade en Flash-vitlista som tillät Flash-innehåll att köras på 58 olika domäner utan användarinteraktion. Sajter på den listan inkluderade Deezer, Facebook, MSN-portalen, Yahoo eller QQ men också poster som man inte nödvändigtvis skulle förvänta sig på en sådan lista som en spansk frisörsalong.

Microsoft begränsade listan på den här månadens uppdatering av Patch Tuesday till bara två Facebook-poster och verkställde användningen av HTTPS för dessa webbplatser efter att en Google-ingenjör lämnade in en felrapport till företaget i slutet av 2018.

Microsoft dumpte listan och Google-ingenjören var tvungen att knäcka den med en ordlista med kända och populära domännamn.

Enligt felrapporten tillåts Flash-innehåll att laddas om det är värd på en av de vita listade domänerna eller om Flash-elementet är större än 398x298 pixlar.

Attacker kan utnyttja listan för att kringgå klick för att spela policy helt eller använda XSS-sårbarheter på några av de inkluderade webbplatserna. Microsoft Edge respekterar Flash-klick för att spela policyer på alla andra webbplatser. Användare måste tillåta exekvering av Flash-innehåll i Microsoft Edge på webbplatser som inte är vitlistade.

Det är oklart varför Microsoft lagt till vitlistan; det är möjligt att det gjorde det för att förbättra kompatibiliteten på utvalda webbplatser. Även om det skulle vara vettigt på större webbplatser som Flashbook som fortfarande är värd för Flash-innehåll, är det oklart vilka parametrar Microsoft använde för att skapa listan.

Listan har vissa arkadsajter som är värd för Flash-spel, men listar inte lika populära arkadsajter som också är värd för Flash-spel. Det är förbryllande att vissa webbplatser finns på listan medan andra inte är det. Det är möjligt att vissa webbplatser lades till

Vi kontaktade Microsoft för att kommentera men har inte hört tillbaka än. Vi kommer att uppdatera artikeln om ytterligare information kommer fram.

Stängande ord

Det är förbryllande att Microsoft skulle lägga till en Flash-vitlista i sin Edge-webbläsare med tanke på att Microsoft aldrig misslyckas med att lyfta fram Edges säkerhetsfunktioner. Att låta webbplatser köra Flash-innehåll utan användartillstånd är mycket problematiskt ur säkerhetssynpunkt även på populära webbplatser.

Att ta bort kontrollen och inte avslöja användaren är mycket problematiskt, inte bara ur säkerhetssynpunkt utan också när det gäller förtroende.

Nu du : Vad är ditt tag på detta?