Несмотря на то, что политики безопасности требуют, чтобы пользовательские сайты могли запускать Flash-контент, у Microsoft Edge есть скрытый белый список, который позволяет Facebook запускать Flash-код без согласия.
Как впервые сообщило ZDNet , белый список был обнаружен исследователем безопасности Google Project Zero Иваном Фрэтиком, который также обнаружил недостатки безопасности, связанные с белым списком. Недостатки включают в себя:
- Уязвимость XSS в любом из доменов позволит обойти политику click2play [и запустить вредоносный Flash-код в этих доменах].
- Уже есть общеизвестные и непатентованные случаи уязвимостей XSS, по крайней мере, в некоторых доменах из белого списка.
- Белый список не ограничивается https. Даже в отсутствие уязвимости XSS это позволит злоумышленнику MITM обойти политику click2play.
В настоящее время Microsoft Edge полагается на политику воспроизведения по клику для Flash, которая явно требует от пользователей разрешения на запуск любого содержимого на основе Flash. Секретный белый список позволяет Facebook обойти эту политику для Flash-виджетов размером более 398×298 пикселей, которые размещаются на https://www.facebook.com и https://apps.facebook.com. Как полагает ZDNet, скорее всего, Edge продолжит поддерживать устаревшую коллекцию Flash-игр от Facebook. Однако, когда они обратились за комментариями, Facebook сказал ZDNet, что никогда не просил Microsoft добавить его в белый список, и с тех пор он просил Microsoft исключить его из списка.
В то время как два домена Facebook являются единственными, которые в настоящее время включены в белый список, он был намного больше до февраля. Когда он был первоначально обнаружен, список содержал 58 URL-адресов, включая записи для собственного сайта Microsoft, а также Deezer, Yahoo и другие. После открытия списка Fratric подал отчет об ошибке в Microsoft в ноябре. Белый список был урезан до двух URL-адресов Facebook с обновлениями «Patch Tuesday» в этом месяце.
Хотя Microsoft не прокомментировала этот список напрямую, компания заявила ZDNet в своем заявлении: «Мы приближаемся к тому моменту, когда Flash больше не является частью стандартного взаимодействия с Microsoft Edge на любом сайте, а последними изменениями в феврале стали следующие». шаг плана перехода «.
Из соображений безопасности во всех основных браузерах реализованы политики «нажми и играй» в отношении содержимого Flash. Adobe, компания, стоящая за Flash, наметила планы выхода из нее к 2020 году. Тем временем Microsoft объявила о планах перевести Edge со своего собственного движка EdgeHTML на Chromium.