Microsoft's Edge webbrowser gebruikers een geheime Flash witte lijst waarmee Flash-inhoud kan worden uitgevoerd zonder klik om bescherming op opgenomen sites te spelen.
Microsoft Edge, de standaardbrowser van het Windows 10-besturingssysteem van Microsoft, ondersteunt native Adobe Flash. Flash is ingesteld op click-to-play in de browser en gebruikers kunnen Flash volledig uitschakelen in de instellingen van de browser.
Microsoft geeft regelmatig Flash-updates uit op de maandelijkse patchdag van het bedrijf om beveiligingsproblemen in Flash op te lossen.
Onlangs is gebleken dat Microsoft een Flash-witte lijst heeft geïmplementeerd waarmee Flash-inhoud op 58 verschillende domeinen zonder gebruikersinteractie kon worden uitgevoerd. Sites op die lijst omvatten Deezer, Facebook, de MSN-portal, Yahoo of QQ, maar ook items die je niet per se op een dergelijke lijst zou verwachten, zoals een Spaanse kapsalon.
Microsoft beperkte de lijst op de patch dinsdag van deze maand tot slechts twee Facebook-vermeldingen en dwong het gebruik van HTTPS voor deze sites nadat een Google-ingenieur eind 2018 een bugrapport bij het bedrijf had ingediend.
Microsoft verdoezelde de lijst en de Google-ingenieur moest deze kraken met een woordenboek met bekende en populaire domeinnamen.
Volgens het bugrapport mag Flash-inhoud worden geladen als deze wordt gehost op een van de op de witte lijst geplaatste domeinen of als het Flash-element groter is dan 398x298 pixels.
Aanvallers kunnen de lijst misbruiken om kliks te omzeilen om beleid volledig te spelen of XSS-kwetsbaarheden op sommige van de opgenomen sites te gebruiken. Microsoft Edge respecteert Flash-klik om beleid op alle andere sites te spelen. Gebruikers moeten de uitvoering van Flash-inhoud in Microsoft Edge toestaan op sites die niet op de witte lijst staan.
Het is onduidelijk waarom Microsoft de witte lijst heeft toegevoegd; het is mogelijk dat dit is gebeurd om de compatibiliteit op geselecteerde sites te verbeteren. Hoewel dat logisch zou zijn op grote sites zoals Flashbook die nog steeds Flash-inhoud hosten, is het onduidelijk welke parameters Microsoft gebruikte om de lijst te maken.
De lijst bevat enkele arcade-sites die Flash-games hosten, maar geen even populaire arcade-sites die ook Flash-games hosten. Het is een raadsel dat sommige sites op de lijst staan en andere niet. Het is mogelijk dat enkele sites zijn toegevoegd
We hebben contact opgenomen met Microsoft voor commentaar, maar hebben nog niets gehoord. We zullen het artikel bijwerken als er aanvullende informatie aan het licht komt.
Slotwoorden
Het is een raadsel dat Microsoft een Flash-witte lijst aan zijn Edge-browser zou toevoegen, aangezien Microsoft nooit nalaat de beveiligingsfuncties van Edge te benadrukken. Sites toestaan om Flash-inhoud uit te voeren zonder gebruikerstoestemming is vanuit veiligheidsoogpunt zeer problematisch, zelfs op populaire sites.
Controle wegnemen en dit niet aan gebruikers bekendmaken is zeer problematisch, niet alleen uit veiligheidsoogpunt, maar ook als het gaat om vertrouwen.
Nu u : wat is uw mening hierover?
