Page 1 sur 1

[Info] La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash

Posté : ven. 22 févr. 2019 08:34
par chantal11
Bonjour,
La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash

Sans votre autorisation


En 2017, Microsoft a modifié son navigateur Edge afin que, pour pouvoir exécuter du contenu Flash, l’utilisateur soit invité à cliquer sur les sites Web en question. Une poignée de sites devait cependant figurer sur une liste blanche, en raison d'une combinaison de dépendance à l'égard de Flash et d'une grande popularité.

La liste blanche visait à faciliter le passage à un monde utilisant HTML5 pour un contenu interactif riche et à limiter l'impact de toute vulnérabilité future liée à Flash. Dans le même temps, l’objectif de la liste était de permettre aux sites disposant d’un contenu complexe dépendant de Flash de continuer à fonctionner. Si seuls quelques sites de confiance peuvent exécuter du contenu Flash par défaut, il devrait être beaucoup plus difficile pour les mauvais acteurs de tirer parti des failles de Flash. Une approche similaire a été adoptée par d'autres navigateurs. Google, par exemple, a ajouté les 10 meilleurs sites utilisant Flash à la liste blanche pendant un an après le basculement de Chrome sur le "click-to-run".

Le navigateur Web Microsoft Edge est livré avec un fichier de liste blanche masqué conçu pour permettre à Facebook de contourner la stratégie de sécurité intégrée clik-to-run, établie pour autoriser la lecture du contenu Flash, sans avoir à demander le consentement de l'utilisateur.

Selon le rapport de bogue initial déposé par Ivan Fratric de Google Project Zero :

Citation Envoyé par Ivan Fratric
Dans Microsoft Windows, il existe un fichier C: \ Windows \ system32 \ edgehtmlpluginpolicy.bin qui contient la liste blanche par défaut des domaines pouvant contourner Flash click2play et charger du contenu Flash sans confirmation de l'utilisateur dans Microsoft Edge.
La version actuelle de la liste blanche Edge, auparavant secrète, permettra à Facebook de contourner la stratégie de lecture après clic de Flash uniquement sur ses domaines www.facebook.com et apps.facebook.com, stratégie actuellement appliquée pour tous les autres domaines non présents sur cette liste.

Dans son rapport de bogue, le chercheur en matière de sécurité a également souligné les conséquences pour la sécurité de la liste blanche d’exécution automatique dans un navigateur Web, en particulier compte tenu du nombre de correctifs de sécurité Flash publiés par Adobe presque tous les mois.
Lire la suite sur Developpez.com