Microsoft Edge laisse Facebook exécuter du code Flash à l’insu des utilisateurs

 

Le navigateur Edge de Microsoft contient une liste blanche secrète qui permet à Facebook d’exécuter du code Adobe Flash derrière le dos des utilisateurs.

La liste blanche permet au contenu Flash de Facebook de contourner les fonctions de sécurité d’Edge telles que la politique de click-to-play, qui empêche normalement les sites Web d’exécuter du code Flash sans l’approbation préalable des utilisateurs.

Qui décide de l’entrée en liste blanche ?

Avant février 2019, la liste blanche Flash secrète contenait 58 entrées, y compris les domaines et sous-domaines du site principal de Microsoft, le portail MSN, le service de streaming Deezer, Yahoo et le réseau social chinois QQ, pour ne citer que les plus connus de la liste.

Microsoft a réduit la liste plus tôt ce mois-ci après qu’un chercheur en sécurité de Google ait découvert plusieurs failles de sécurité dans le mécanisme secret de la liste blanche Flash d’Edge.

Fratric a signalé le bug auprès de Microsoft en novembre dernier. L’éditeur a fourni un correctif lors du Patch Tuesday de février, limitant la liste de 58 URLs à seulement deux domaines et en appliquant HTTPS pour tous les domaines inclus dans la liste.

Dans sa version actuelle, Edge permettra à Facebook d’exécuter tout widget Flash ayant une dimension de plus de 398×298 pixels et hébergé sur les domaines https://www.facebook.com et https://apps.facebook.com. Il est fort probable que Facebook figure sur la liste blanche de Microsoft Edge pour supporter la vaste collection de jeux Flash existants sur le réseau social.

Tout autre widget Flash d’un autre site Web sera soumis à la politique de click-to-play par défaut de Edge. Ainsi, les sites Web ne sont pas autorisés à exécuter Flash sans l’autorisation des utilisateurs. Généralement, l’exécution de Flash doit être activée via une icône de barre d’adresse.

Sur Twitter, le chercheur en sécurité de Google ne cache pas sa surprise à l’égard de cette liste blanche, des sites qu’elle contient et de sa gestion :

« Il y a tellement de sites dont la présence me laisse complètement déconcerté » écrit Fratric. « Comme le site d’un coiffeur en Espagne ((lien : http://www.dgestilistas.es) dgestilistas.es) ?! Je me demande comment la liste a été constituée. Et si[le Microsoft Security Response Center] était au courant. »

Go to Source


bouton-devis