La buena noticia es que tras ser expuesta y reportada por investigadores de seguridad, Microsoft eliminó casi todos los sitios de la lista. La mala es que aún se mantienen dos excepciones y las dos son de Facebook.
La infame reputación del plugin de Flash es conocida, tanto que todos los navegadores modernos han decidido abandonar en mayor o menor medida su soporte. El mismo Edge, por seguridad, bloquea el contenido Flash por defecto en prácticamente toda la web, o exige que sea el usuario quien haga click para rerpoducirlo (click2play). Sin embargo, investigadores de Google Project Zero descubireron que este no era el caso para 58 sitios.
El problema es que la lista de sitios, que incluía varios dominios de la web principal de Microsoft, de MSN, Yahoo, Deezer, la china QQ, y otros mucho menos conocidos y tan extraños como una peluquería, representaba en sí un problema de seguridad.
Varios de los sitios web en la lista blanca de Edge tenían múltiples vulnerabilidades
Ivan Fratric, el investigador que descubrió la lista, explica que esta era insegura por múltiples razones:
- Una vulnerabilidad XSS en cualquiera de los dominios permitiría eludir la política de click2play
- Ya existen instancias conocidas y no solucionadas de vulnerabilidades XSS en al menos algunos de los dominios incluidos en la lista blanca de Edge
- La lista blanca no se limita a HTTPS (de todos modos, esto no funcionaría ya que algunos de los dominios de la lista blanca no son compatibles con HTTPS). E incluso en ausencia de una vulnerabilidad XSS, esto permitiría a un atacante _Man in the middle_ (MITM) evitar la política de click2play
XXS o _Cross-site scripting_ es un tipo de vulnerabilidad informática típica de las aplicaciones web, que puede permitir a un tercero inyectar código malicioso en JavaScript o un lenguaje similar. XXS se puede usar para robar información, secuestrar la sesión del usuario, o comprometer la seguridad de todo el navegador.
Los bugs de cross-site scripting existen desde que la web es web, pero el detalle aquí es que varios de los sitios web en una lista blanca del propio navegador, tenían bugs de este tipo sin resolver, y otros ni siquiera usaban HTTPS.
Tras el reporte, Microsoft eliminó todos los sitios de la lista, excepto los dominios de Facebook https://www.facebook.com y https://apps.facebook.com. Actualmente Edge permite a esos dominios ejecutar cualquier widget de Flash mientras tengan una dimensión de al menos 398x298 pixeles, esto para dar soporte a la larga colección de juegos en Flash de la red social.
Para cualquier otro sitio web, Edge si respeta su propia política de seguridad de click2play. Es decir, un sitio web no tiene el permiso para ejecutar contenido Flash sin el permiso del usuario, permiso que se resume a un simple click. Excepto, en Facebook.
Chrome y Firefox deshabilitarán por completo el plugin de Flash este año, y ahora que el nuevo Edge se basará en Chromium tarde o temprano seguirá el mismo camino.
Vía | ZDNet - ARS Technica
Ver 4 comentarios