Ivan Fratric, investigador de seguridad de Google Project Zero, encontró en noviembre del año pasado que el navegador Edge de Microsoft tenía una 'white list' (lista de excepciones) con 58 sitios web a los que se les permitía ejecutar comandos basados en Adobe Flash sin necesidad de que el usuario lo aprobara. Tras informar a Microsoft, la compañía envió una actualización que corregía esto, la cual eliminaba a la mayoría de los sitios web de dicha lista a excepción de dos, los cuales pertenecen a Facebook.
Lo curioso, y peligroso, de esta lista, es que aquellos sitios que se encuentren en ella podrán ejecutar código basado en Flash sin la aprobación previa del usuario, violando así las políticas de seguridad del mismo Edge que, en teoría, no permite la política de reproducción de clics (click2play) que muchos sitios usaban para activar funciones usando Flash y que ponían en riesgo la seguridad de los usuarios.
Facebook puede ejecutar Flash a pesar de las políticas de seguridad de Edge
El descubrimiento de Ivan Fratric nos presentaba una lista de excepciones de 58 dominios y subdominios donde se incluían, por ejemplo, la web de Microsoft, el portal MSN, Deezer, Yahoo, la red social china QQ e incluso el sitio 'dgestilistas.es', que es una peluquería española.
Tras la actualización enviada por Microsoft para Edge, de los 58 dominios sólo se mantuvieron dos de ellos: https://www.facebook.com y https://apps.facebook.com. Se desconocen las razones, pero además de esto, Fratric descubrió nuevos fallos de seguridad en esta 'lista blanca':
- Una vulnerabilidad XSS en cualquiera de los dominios que permitiría omitir la política de 'click2play' (ejecutar código Flash malicioso en estos dominios).
- Se encontraron vulnerabilidades XSS conocidas y sin parchear en al menos algunos de los dominios incluidos en la lista blanca.
- La lista blanca no se limita a 'https', incluso en ausencia de las vulnerabilidades XSS, lo que permitiría a un atacante MITM saltarse la política de seguridad 'click2play'.
Como mencionaba, lo más extraño es que de los 58 dominios se haya decidido mantener sólo dos y pertenecientes a Facebook. Con esto, la red social de Zuckerberg puede ejecutar cualquier widget de Flash que tenga unas dimensiones de más de 398 x 298 píxeles y esté alojado en los dominios https://www.facebook.com y https://apps.facebook.com.
Por otro lado, para cualquier otro widget de Flash, Edge mantiene activa su política de seguridad 'click2play' que no permite que ningún sitio ejecute contenido Flash sin el permiso del usuario, quien debe aceptarlo a través de una advertencia en la barra de direcciones.
Nos hemos puesto en contacto con Microsoft y Facebook para conocer más detalles de esto y actualizaremos esta entrada en caso de tener alguna novedad.
"Estamos llegando al punto en que Flash ya no forma parte de la experiencia predeterminada en Microsoft Edge en ningún sitio y los cambios recientes en febrero fueron el siguiente paso del plan de transición".
Además, Microsoft nos aclara que aún hay algunas excepciones con web que usan Flash porque así lo requieren para su óptimo funcionamiento, pero "el siguiente paso será deshabilitar Flash por defecto en todos los sitios web".
Ver todos los comentarios en https://www.xataka.com
VER 25 Comentarios