Successivo
Flash Player

Security

Google: la whitelist di Edge per i siti in Flash è un covo di bug

Alfonso Maruccia | 22 Febbraio 2019

Google Microsoft Servizi Web Sicurezza

I ricercatori di Mountain View hanno scoperto che il browser Microsoft si prende troppe libertà nella gestione dei siti pesantemente […]

I ricercatori di Mountain View hanno scoperto che il browser Microsoft si prende troppe libertà nella gestione dei siti pesantemente basati su Flash. Buona parte dei domini della whitelist di Edge è affetta da bug di sicurezza anche gravi.

Il 2020 segnerà il pensionamento definitivo del Flash Player di Adobe, ma in attesa di questo importante traguardo la quotidianità informatica deve fare ancora i conti con i rischi connessi all’uso – anzi all’abuso – dello storico add-on per la gestione dei contenuti multimedial-interattivi sul Web. Uno dei suddetti rischi arriva da Microsoft Edge, browser che secondo Google gestisce in maniera sin troppo sbarazzina – e potenzialmente molto pericolosa – i permessi di accesso a Flash da parte di alcuni siti Web.

Come tutti i browser moderni, Edge non usa più Flash come player di default adottando piuttosto la tecnologia HTML5 laddove disponibile. L’eccezione è rappresentata da una whitelist cifrata, un elenco di alcuni siti Web che secondo il giudizio di Microsoft devono avere il permesso di eseguire il codice dei componenti Flash in piena libertà e senza chiedere autorizzazione all’utenza.

Logo Microsoft Edge

I ricercatori di Google hanno dato un’occhiata alla whitelist di Edge, e il risultato dell’analisi è stato inequivocabile: i domini con “permessi speciali” sono insicuri, e potrebbero essere compromessi per sfruttare Flash a scopo assolutamente malevolo contro gli utenti finali. La lista quasi completa dei siti in whitelist ricostruita da Google comprende nomi particolarmente noti (Facebook), siti specializzati in casual gaming ma anche portali sconosciuti. E’ presente tra l’altro anche il sito della TV italiana La7.

La whitelist di Edge è insicura, ha spiegato Google, perché i siti in essa contenuti sono vulnerabili ad attacchi di tipo Cross-Site-Scripting (XSS) (con casi già pubblicamente noti riguardanti alcuni dei domini coinvolti), ed è possibile eseguire il codice Flash anche al di fuori delle connessioni protette veicolate dal protocollo HTTPS.

In attesa che Edge si trasformi nell’ennesimo, superfluo clone di Chrome abbandonando le sue tecnologie originali, Microsoft ha messo una pezza al problema della whitelist Flash in concomitanza con gli update dell’ultimo Patch Tuesday mensile: ora la whitelist di Edge concede solo a due domini (www.facebook.com, apps.facebook.com) il permesso esclusivo di caricare codice in Flash senza chiedere il permesso all’utente.