Facebook té una porta secreta oberta a Edge que us permet executar Flash sense que l'usuari ho sàpiga

Et preocupa la privadesa de les teves dades? Doncs agafa't ja que vénen corbes. Un investigador de seguretat ha descobert una bretxa que afecta el navegador web de Microsoft, Edge. Mentre espera una revisió que doni el s alt al motor de renderitzat basat en Chromium, els problemes segueixen presents per a Edge.

L'alerta, com altres vegades, prové de Google Project Zero, un departament encarregat d'investigar i detectar errors i bretxes en aplicacions i sistemes operatius. I en aquest cas Ivan Fratric, (@ifsecure), ha detectat un error a Edge que permet que es pugui executar codi Flash sense que l'usuari en tingui coneixement .

Barra lliure per a Flash

Per posar-nos en antecedents cal viatjar en el temps fins a finals del 2018. Des de Google Project Zero van descobrir una llista blanca(white list ) a Edge. Es tracta d'una llista que funciona igual que la que podem fer servir als smartphones_, llevat que en lloc d'usar números de telèfon utilitza serveis web.

En total, aquest llistat donava llibertat d'accés als nostres equips perquè fins a 58 llocs web de tot tipus podessin executar codi basat en Adobe Flashi tot això, és clar, sense que l'afectat en tingués coneixement. Aquest era el problema.

"

Lloc en coneixement de Microsoft el problema, Edge va ser pegat i encara que van aturar l&39;arrel del problema, no van aconseguir eliminar totes les amenaces Persistien dos llocs web que encara comptaven amb permisos per executar Flash.I tots dos estaven sota la influència de Facebook. Aquests són els dos dominis amb privilegis:"

• https://www.facebook.com
• https://apps.facebook.com

"

Això es tradueix que qualsevol giny que s&39;executi en Flash i que estigui inclòs en algun d&39;aquests dominis, pot posar vulnerar les mesures de seguretat de MicrosoftA més, el mateix Fratric va descobrir un nou risc per la qual es podia esquivar la política de clicktorun de què fa gala Edge i que atorga el control d&39;accés a l&39;equip a l&39;usuari. És aquest el que pot admetre o denegar el que s&39;execute aquest tipus de serveis. Un forat de seguretat important, ja que es podria executar codi Flash ja sigui per part d&39;aquests dominis o fins i tot mitjançant un atac MITM (Man In The Middle)."

"

Segons avisen al lloc web, _quan es visita un lloc web que intenta carregar contingut Flash mentre navega amb Microsoft Edge a partir de Windows 10 Creators Update, pot observar que certs aspectes del lloc web no funcionen de la manera que espera. Aquest comportament inesperat pot ser el resultat que Flash es bloquegi per defecte per la funció Flash Click-to-Run_. En teoria aquest havia de ser el funcionament"

Un clau per a Edge

Aquest fet és especialment greu, ja que significa que està en risc la seguretat i la integritat de les dades de l'usuari. I de pas contradiu les polítiques de seguretat d'Edge, que lluita contra l'ús fraudulent d'aquest tipus de pràctiques.

"

És un flac favor el que fets com aquest li fan a Edge, una navegador amb una salut delicada que ja veu com Microsoft li ha posat data de defunció quan a Windows 10 October 2019 Update el nou Edge sigui una realitat."

Via | ZDNet Imatge portada | iAmMrRob