Les navigateurs Web Microsoft utilisent une liste blanche secrète Flash qui permet au contenu Flash de s’exécuter sans clic pour protéger les sites inclus.
Microsoft Edge, le navigateur par défaut du système d'exploitation Windows 10 de Microsoft, prend en charge Adobe Flash de manière native. Flash est configuré pour jouer en un clic dans le navigateur et les utilisateurs peuvent désactiver Flash entièrement dans les paramètres du navigateur.
Microsoft publie régulièrement des mises à jour Flash le jour du correctif mensuel de l'entreprise pour résoudre les problèmes de sécurité découverts dans Flash.
Il est apparu récemment que Microsoft avait mis en place une liste blanche Flash qui permettait à un contenu Flash de s'exécuter sur 58 domaines différents sans interaction de l'utilisateur. Les sites de cette liste comprenaient Deezer, Facebook, le portail MSN, Yahoo ou QQ, mais aussi des entrées auxquelles on ne s'attendrait pas nécessairement sur une telle liste, comme un salon de coiffure espagnol.
Microsoft a limité la liste de la mise à jour Patch Tuesday de ce mois-ci à seulement deux entrées sur Facebook et a imposé l'utilisation du protocole HTTPS pour ces sites après qu'un ingénieur de Google ait déposé un rapport de bogue auprès de la société à la fin de 2018.
Microsoft a obscurci la liste et l’ingénieur de Google a dû la résoudre à l’aide d’un dictionnaire de noms de domaines connus et populaires.
Selon le rapport de bogue, le contenu Flash est autorisé à être chargé s'il est hébergé sur l'un des domaines de la liste blanche ou si l'élément Flash est supérieur à 398 x 298 pixels.
Les attaquants pourraient exploiter la liste pour contourner entièrement les règles de clic ou utiliser les vulnérabilités XSS sur certains des sites inclus. Microsoft Edge respecte Flash. Cliquez sur pour lire les stratégies sur tous les autres sites. Les utilisateurs doivent autoriser l'exécution du contenu Flash dans Microsoft Edge sur des sites non inscrits sur la liste blanche.
On ignore pourquoi Microsoft a ajouté la liste blanche. il est possible qu'il l'ait fait pour améliorer la compatibilité sur certains sites. Bien que cela ait du sens sur des sites majeurs tels que Flashbook qui hébergent toujours du contenu Flash, il est difficile de savoir quels paramètres Microsoft a utilisés pour créer la liste.
La liste contient des sites d'arcade hébergeant des jeux Flash, mais ne répertorie pas les sites d'arcade tout aussi populaires hébergeant des jeux Flash. Il est étonnant que certains sites figurent sur la liste alors que d'autres ne le sont pas. Il est possible que certains sites aient été ajoutés
Nous avons contacté Microsoft pour obtenir des commentaires, mais n'avons pas encore eu de réponse. Nous mettrons à jour l'article si des informations supplémentaires sont révélées.
Mots de clôture
Il est étonnant que Microsoft ajoute une liste blanche Flash à son navigateur Edge, car Microsoft ne manque jamais de mettre en évidence les fonctionnalités de sécurité d’Edge. Permettre aux sites d'exécuter du contenu Flash sans l'autorisation de l'utilisateur est extrêmement problématique du point de vue de la sécurité, même sur des sites populaires.
Supprimer le contrôle et ne pas divulguer le fait aux utilisateurs est un problème majeur, non seulement du point de vue de la sécurité, mais également de la confiance.
Maintenant vous : quelle est votre opinion sur ceci?
