Avec Microsoft Edge (le navigateur par défaut de Windows 10), l'utilisateur a la possibilité dans les paramètres avancés d'activer ou désactiver la prise en charge d'Adobe Flash Player. La désactivation est recommandée pour " préserver la sécurité sur le Web. "
Dans l'éventualité d'une activation, le contenu Adobe Flash est bloqué par défaut et l'utilisateur doit cliquer pour autoriser une exécution (cliquer pour activer).
Membre du Project Zero de Google, Ivan Fratric a découvert en novembre dernier dans un fichier edgehtmlpluginpolicy.bin (dossier Windows\system32\), une liste blanche dont il a analysé (cassé) les hashes de noms de domaine.
Le chercheur en sécurité a ainsi mis au jour 58 sites web pour lesquels le contenu Flash était exécuté sans l'interaction d'un utilisateur. Parmi ces sites, Deezer, Facebook, MSN, Yahoo, QQ (réseau social populaire en Chine)… Également, certaines curiosités comme le site d'un coiffeur espagnol.
The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I'm completely baffled as to why they're there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.
— Ivan Fratric (@ifsecure) 19 février 2019
Pour Ivan Fratric, cette liste blanche présente des risques de sécurité pour plusieurs raisons, comme le fait qu'une vulnérabilité de type cross-site scripting (injection de code indirecte dans une page) sur l'un des domaines permettrait de contourner la politique générale du cliquer pour activer. Or, il a souligné que certains sites en liste blanche sont connus pour de telles failles. De quoi craindre une exécution de code Flash malveillant.
Considérée comme un bug de sécurité, cette trouvaille était sujette à la politique de divulgation de 90 jours de Project Zero, soit une date butoir au 24 février. Toutefois, le problème a été corrigé par Microsoft avec une mise à jour diffusée ce mois-ci (Patch Tuesday).
En plus d'une obligation https avant une comparaison avec la liste blanche, cette dernière a été réduite à uniquement deux domaines. En l'occurrence, pour Facebook avec https://www.facebook.com et https://apps.facebook.com. La faveur accordée à Facebook reste un mystère. Elle est probablement en rapport avec des jeux Flash sur la plateforme.
À The Register, un porte-parole de Microsoft a seulement déclaré : " Nous approchons du point où Flash ne fait plus partie de l'expérience par défaut dans Microsoft Edge sur n'importe quel site et les changements récents en février constituaient la prochaine étape du plan de transition. "
Rappelons que Adobe a programmé la mort de la technologie Flash avec l'arrêt de la mise à jour et de la distribution de Flash Player fin 2020.
