Microsoft Edge oculta una ‘white list’ que le permite a Facebook ejecutar código Flash sin que el usuario lo sepa

Microsoft Edge oculta una 'white list' que le permite a Facebook ejecutar código Flash sin que el usuario lo sepa

Ivan Fratric, investigador de seguridad de Google Project Zero, encontró en noviembre del año pasado que el navegador Edge de Microsoft tenía una ‘white list’ o lista de excepciones con 58 sitios web a los que se les permitía ejecutar comandos basados en Adobe Flash sin necesidad de que el usuario lo aprobara. Tras informar a Microsoft de esto, la compañía envió una actualización que corregía esto, la cual eliminaba a la mayoría de los sitios web de dicha lista a excepción de dos, los cuales pertenecen a Facebook.

Lo curioso, y peligroso, de esta lista, es que aquellos sitios que se encuentren en ella podrán ejecutar código basado en Flash sin la aprobación previa del usuario, violando así las políticas de seguridad del mismo Edge que, en teoría, no permite la política de reproducción de clics (click2play) que muchos sitios usaban para activar funciones usando Flash y que ponían en riesgo la seguridad de los usuarios.

Facebook puede ejecutar Flash a pesar de las políticas de seguridad de Edge

El descubrimiento de Ivan Fratric nos presentaba una lista de excepción de 58 dominios y subdominios donde se incluían, por ejemplo, la web de Microsoft, el portal MSN, Deezer, Yahoo, la red social china QQ e incluso el sitio ‘dgestilistas.es’, que es una peluquería española.

Tras la actualización enviada por Microsoft para Edge, de los 58 dominios sólo se mantuvieron dos de ellos: https://ift.tt/g8FRpY y https://ift.tt/UJ0CaK. Se desconocen las razones, pero además de esto, Fratric descubrió nuevos fallos de seguridad en esta ‘lista blanca’:

  • Una vulnerabilidad XSS en cualquiera de los dominios que permitiría omitir la política de ‘click2play’ (ejecutar código Flash malicioso en estos dominios).
  • Se encontraron vulnerabilidades XSS conocidas y sin parchear en al menos algunos de los dominios incluidos en la lista blanca.
  • La lista blanca no se limita a ‘https’, incluso en ausencia de las vulnerabilidades XSS, lo que permitiría a un atacante MITM saltarse la política de seguridad ‘click2play’.

Como mencionaba, lo más extraño es que de los 58 dominios se haya decidido mantener sólo dos y pertenecientes a Facebook. Con esto, la red social de Zuckerberg puede ejecutar cualquier widget de Flash que tenga unas dimensiones de más de 398 x 298 píxeles y esté alojado en los dominios https://ift.tt/g8FRpY y https://ift.tt/UJ0CaK.

Por otro lado, para cualquier otro widget de Flash, Edge mantiene activa su política de seguridad ‘click2play’ que no permite que ningún sitio ejecute contenido Flash sin el permiso del usuario, quien debe aceptarlo a través de una advertencia en la barra de direcciones.

Nos hemos puesto en contacto con Microsoft y Facebook para conocer más detalles de esto y actualizaremos esta entrada en caso de tener alguna novedad.

También te recomendamos


Crema de chocolate y café con mascarpone: receta para enamorar


Criticar que Google sabotea a Microsoft Edge es tener muy mala memoria


Facebook prepara LOL: memes y GIFs en lugar de medios para intentar dejar de lucir anticuado


La noticia

Microsoft Edge oculta una ‘white list’ que le permite a Facebook ejecutar código Flash sin que el usuario lo sepa

fue publicada originalmente en

Xataka

por
Raúl Álvarez

.

Vía Xataka https://ift.tt/2ElEvFd

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s