Come certamente saprete tutti i principali browser hanno adottato il meccanismo click-to-play per la gestione dei contenuti in formato Flash eventualmente presenti nelle pagine web. Le creatività Flash, tecnologia da tempo “sul viale del tramonto” (vedere Firefox 69 disattiverà in modo predefinito tutti i contenuti Flash) tanto che la stessa Adobe la abbandonerà definitivamente nel 2020, non vengono cioè mai caricate in automatico. È l’utente che cliccando sull’apposito spazio nella pagina web può richiederne il caricamento.
Microsoft Edge tiene lo stesso comportamento anche se, stando a quanto scoperto da Ivan Fratric, uno dei tecnici del team di Google Project Zero, vi sarebbero delle importanti eccezioni.
Il browser Microsoft portato al debutto in Windows 10 consente il caricamento dei contenuti Flash presenti in tutte le pagine Facebook e utilizzate dalle app di terze parti sviluppate per il social network di Mark Zuckerberg.
Edge utilizza insomma una whitelist per i domini www.facebook.com
e apps.facebook.com
(salvata nel file %systemroot%\system32\edgehtmlpluginpolicy.bin
) che permette il caricamento automatico dei contenuti Flash.
Frantic contesta platealmente la scelta di Microsoft osservando che Flash resta uno dei componenti software più vulnerabili in assoluto (lo dimostra il numero di aggiornamenti di sicurezza che viene rilasciato ogni mese). Eventuali malintenzionati potrebbero sfruttare tali lacune per eseguire una vasta schiera di attacchi.
Non solo. Frantic osserva che fino a poco tempo fa la whitelist di Edge per ciò che riguarda il caricamento automatico di contenuti Flash era molto più ricca. Se oggi rimangono due soli domini di Facebook, in precedenza i siti autorizzati a caricare Flash senza passare per il click-to-play erano quelli riportati in questa pagina.
L’esperto rinnova a Microsoft un quesito importante ovvero perché l’azienda di Redmond abbia deciso di utilizzare la whitelist in Edge. Basti pensare che tra i siti autorizzati a caricare Flash senza limitazioni c’è anche quello di un parrucchiere spagnolo. Qual è la ratio?
The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I’m completely baffled as to why they’re there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.
— Ivan Fratric (@ifsecure) 19 febbraio 2019