Los usuarios del navegador web Edge de Microsoft tienen una lista blanca secreta de Flash que permite que el contenido Flash se ejecute sin la protección de hacer clic para reproducir en los sitios incluidos.

Microsoft Edge, el navegador predeterminado del sistema operativo Windows 10 de Microsoft, es compatible con Adobe Flash de forma nativa. Flash está configurado para reproducir mediante un clic en el navegador, y los usuarios pueden deshabilitarlo por completo en la configuración del navegador.

Microsoft lanza actualizaciones de Flash con regularidad el día del parche mensual de la empresa para solucionar problemas de seguridad descubiertos en Flash.

Salió a la luz Recientemente, Microsoft implementó una lista blanca de Flash que permitió que el contenido Flash se ejecutara en 58 dominios diferentes sin la interacción del usuario. Los sitios en esa lista incluían Deezer, Facebook, el portal MSN, Yahoo o QQ, pero también entradas que uno no necesariamente esperaría en una lista como una peluquería española.

deshabilitar el flash de borde

Microsoft limitado la lista en la actualización del martes de parches de este mes a solo dos entradas de Facebook y aplicó el uso de HTTPS para estos sitios después de que un ingeniero de Google presentó un informe de error con la compañía a fines de 2018.

Microsoft ofuscado la lista y el ingeniero de Google tuvieron que descifrarla utilizando un diccionario de nombres de dominio conocidos y populares.

Según el informe de errores, el contenido Flash puede cargarse si está alojado en uno de los dominios incluidos en la lista blanca o si el elemento Flash tiene más de 398×298 píxeles.

Los atacantes podrían explotar la lista para eludir por completo las políticas de clic para reproducir o utilizar vulnerabilidades XSS en algunos de los sitios incluidos. Microsoft Edge respeta las políticas de Flash Click to Play en todos los demás sitios. Los usuarios deben permitir la ejecución de contenido Flash en Microsoft Edge en sitios no incluidos en la lista blanca.

No está claro por qué Microsoft agregó la lista blanca; es posible que lo haya hecho para mejorar la compatibilidad en sitios seleccionados. Si bien eso tendría sentido en sitios importantes como Flashbook que aún albergan contenido Flash, no está claro qué parámetros utilizó Microsoft para crear la lista.

La lista presenta algunos sitios de arcade que albergan juegos Flash, pero no enumera sitios de arcade igualmente populares que también albergan juegos Flash. Es desconcertante que algunos sitios estén en la lista y otros no. Es posible que se hayan agregado algunos sitios

Nos contactamos con Microsoft para solicitar comentarios, pero aún no hemos recibido respuesta. Actualizaremos el artículo si sale a la luz información adicional.

Palabras de cierre

Es desconcertante que Microsoft agregue una lista blanca de Flash a su navegador Edge considerando que Microsoft nunca deja de resaltar las características de seguridad de Edge. Permitir que los sitios ejecuten contenido Flash sin el permiso del usuario es muy problemático desde el punto de vista de la seguridad, incluso en sitios populares.

Quitar el control y no revelar el hecho a los usuarios es muy problemático no solo desde el punto de vista de la seguridad sino también en lo que respecta a la confianza.

Ahora tu: ¿Cuál es su opinión sobre esto?

Por Deyanira