Microsoft Edge oculta una ‘white list’ que le permite a Facebook ejecutar código Flash sin que el usuario lo sepa
Ivan Fratric, investigador de seguridad de Google Project Zero, encontró en noviembre del año pasado que el navegador Edge de Microsoft tenía una ‘white list’ (lista de excepciones) con 58 sitios web a los que se les permitía ejecutar comandos basados en Adobe Flash sin necesidad de que el usuario lo aprobara. Tras informar a Microsoft, la compañía envió una actualización que corregía esto, la cual eliminaba a la mayoría de los sitios web de dicha lista a excepción de dos, los cuales pertenecen a Facebook.
Lo curioso, y peligroso, de esta lista, es que aquellos sitios que se encuentren en ella podrán ejecutar código basado en Flash sin la aprobación previa del usuario, violando así las políticas de seguridad del mismo Edge que, en teoría, no permite la política de reproducción de clics (click2play) que muchos sitios usaban para activar funciones usando Flash y que ponían en riesgo la seguridad de los usuarios.
Criticar que Google sabotea a Microsoft Edge es tener muy mala memoria: Facebook puede ejecutar Flash a pesar de las políticas de seguridad de Edge
El descubrimiento de Ivan Fratric nos presentaba una lista de excepciones de 58 dominios y subdominios donde se incluían, por ejemplo, la web de Microsoft, el portal MSN, Deezer, Yahoo, la red social china QQ e incluso el sitio ‘dgestilistas.es’, que es una peluquería española.
Tras la actualización enviada por Microsoft para Edge, de los 58 dominios sólo se mantuvieron dos de ellos:
Se desconocen las razones, pero además de esto, Fratric descubrió nuevos fallos de seguridad en esta ‘lista blanca’:
Una vulnerabilidad XSS en cualquiera de los dominios que permitiría omitir la política de ‘click2play’ (ejecutar código Flash malicioso en estos dominios).
Se encontraron vulnerabilidades XSS conocidas y sin parchear en al menos algunos de los dominios incluidos en la lista blanca.
La lista blanca no se limita a ‘https’, incluso en ausencia de las vulnerabilidades XSS, lo que permitiría a un atacante MITM saltarse la política de seguridad ‘click2play’.
Como se mencionaba, lo más extraño es que de los 58 dominios se haya decidido mantener sólo dos y pertenecientes a Facebook. Con esto, la red social de Zuckerberg puede ejecutar cualquier widget de Flash que tenga unas dimensiones de más de 398 x 298 píxeles y esté alojado en los dominios https://www.facebook.com y https://apps.facebook.com.
Por otro lado, para cualquier otro widget de Flash, Edge mantiene activa su política de seguridad ‘click2play’ que no permite que ningún sitio ejecute contenido Flash sin el permiso del usuario, quien debe aceptarlo a través de una advertencia en la barra de direcciones.
Ver información original al respecto en Fuente:
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.