Xakep #238. Забытый Android

• Содержание выпуска


• Подписка на «Хакер»

Специалисты Google обнаружили, что браузер Edge добавляет Facebook в скрытый белый список, разрешая социальной сети использовать Flash-контент, несмотря на обычные ограничения Edge. То есть в обход правила click-to-play, согласно которому сайты не могут запускать Flash без предварительного одобрения пользователя.

Эксперты рассказывают, что до февраля 2019 года тайный белый список содержал 58 записей, в том числе домены и поддомены официального сайта  Microsoft, портала MSN, музыкального сервиса Deezer, Yahoo и китайской социальная сеть QQ. К февралю 2019 года список сократился до двух доменов Facebook, после того как ИБ-исследователь нашел ряд проблем, связанных с механизмом работы белого списка в Edge.

Баг обнаружил эксперт Google Project Zero Иван Фратрик (Ivan Fratric) в ноябре 2018 года. Он описывал проблему как XSS-уязвимость, позволявшую любому сайту обойти правило click-to-play и запускать Flash-контент.

The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I'm completely baffled as to why they're there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.

— Ivan Fratric (@ifsecure) February 19, 2019

После того как Фратрик сообщил инженерам Microsoft об ошибке, вышло исправление, после релиза которого список из 58 доменов сократился до двух. В итоге текущая версия Edge позволяет Facebook выполнять любой Flash-контент размером более 398?298 пикселей и размещенный на https://www.facebook.com и https://apps.facebook.com. Исследователи полагают, что Edge разрешает Facebook такое поведение из-за многочисленных старых Flash-игр социальной сети.

Журналисты издания ZDNet приводят комментарий представителей Facebook. Те утверждают, что никогда не просили Microsoft о подобных уступках и сами настраивают на удалении доменов социальной сети из белого списка.

Теги: CSS, Edge Facebook социальной список доменов