Flash no autorizado de Edge a Facebook

Según los investigadores de seguridad de Google, Microsoft Edge permite que Facebook reproduzca contenido Flash. De acuerdo con la política de seguridad de Edge, no se debe permitir contenido Flash.

Aunque Microsoft Edge morirá pronto, no es un navegador del que todo el mundo diga adiós todavía. Google, por otro lado, tiene la intención de clavar los últimos clavos en el ataúd.

Los expertos en seguridad de Google han determinado que Microsoft Edge tiene una lista blanca y Facebook está reproduciendo contenido Flash de los sitios en esta lista blanca sin que los usuarios lo sepan. Reproducir este tipo de contenido sin el conocimiento del usuario también va en contra de la política de Edge.

Entre los 58 sitios de la lista a los que se les permitió reproducir contenido Flash se encontraban sitios como el portal MSN, Deezer, Yahoo y el sitio chino de redes sociales QQ. Microsoft logró reducir esta lista a 2 sitios. Ambos dominios en la lista son propiedad de Facebook.

Los investigadores de seguridad de Google Zero también enumeraron las vulnerabilidades de la siguiente manera:

  • Debido a la vulnerabilidad XSS, es posible que se exceda la política de hacer clic para reproducir.
  • Al menos algunos de los dominios incluidos en la lista blanca ya tienen dominios ‘públicos’ y ‘no corregidos’ para vulnerabilidades XSS.
  • Solo los dominios https no están incluidos en la lista blanca, lo que puede hacer que los atacantes MITM eludan la política de hacer clic para reproducir, incluso si no hay una vulnerabilidad XSS.

Actualmente, Edge permite complementos Flash en Facebook que tienen más de 398 x 298 píxeles. Los sitios restantes requieren el consentimiento de los usuarios para reproducir contenido Flash.

Al decir que no entendió cómo se creó la lista original, el empleado de Google dice que la lista también incluye el nombre de dominio de una peluquería en España.

El telón de Flash se bajará en 2020 y la era de Flash llegará a su fin. Microsoft también abandonará EdgeHTML por Edge y comenzará a usar Google Chromium.

Fuente: https://www.zdnet.com/article/microsoft-edge-lets-facebook-run-flash-code-behind-users-backs/

Publicaciones relacionadas

Botón volver arriba