[ZEUS News - www.zeusnews.it - 23-02-2019]
Adobe Flash, una tecnologia la cui sorte è segnata, non è esattamente amico della sicurezza informatica: non è un caso se ormai tutti consigliano di abbandonarlo per sempre in favore delle alternative più sicure.
Sfortunatamente, Flash è ancora importante per alcuni siti e servizi, come quelli che ospitano certi semplici giochini, nati al tempo in cui Flash era l'ultima moda del momento.
I maggiori browser, tuttavia, ne rendono sempre più ostico l'utilizzo. Per esempio gli utenti di Windows 10 sanno che Edge, il browser di default per quel sistema operativo, richiede un consenso esplicito da parte dell'utente ogni volta che un contenuto Flash vuol essere eseguito.
Ciò che gli utenti di Windows 10 non sapevano fino a oggi è che all'interno di Edge c'è una whitelist segreta, un elenco cifrato di siti che possono eseguire tutti i contenuti Flash che vogliano senza dover chiedere il permesso.
La lista è stata scoperta da Ivan Fratric, uno degli esperti di Google Project Zero, e prima di febbraio conteneva 58 elementi che spaziano da domini legati a Microsoft fino a Facebook, passando per alcuni siti di giochi Flash e contemplando persino un salone di bellezza spagnolo.
Quali siano stati i criteri che hanno spinto Microsoft a mettere insieme una whitelist tanto bizzarra è tuttora incomprensibile, ma quel che è certo è che la lista era progettata per non essere immediatamente visibile anche agli esperti (infatti era cifrata) e che da qualche settimana s'è ridotta di molto.
Ora comprende infatti soltanto due domini legati a Facebook. Non solo: adesso viene richiesto che quei siti siano contattati tramite protocollo HTTPS.
Le ragioni del cambiamento si devono proprio alla scoperta della lista da parte del Project Zero: i suoi ricercatori hanno infatti notato come essa facilitasse l'esecuzione di attacchi basati su vulnerabilità XSS presenti nei siti elencati, alcune delle quali ben note e non corrette.
|
Allo stato attuale, quindi Edge consente l'esecuzione di tutti i contenuti Flash provenienti da Facebook (precisamente dai domini https://www.facebook.com e https://apps.facebook.com) e con dimensioni superiori a 398x298 pixel: probabilmente ciò è dovuto alla necessità di consentire agli utenti di continuare a usare i vecchi giochi, molto presenti sul social network.
Tuttavia, resta la perplessità su come è stata gestita la lista fino all'intervento di Google.
«Ci sono alcuni siti la cui presenza mi lascia del tutto stupefatto» ha commentato Fratric. «Come il sito del parrucchiere spagnolo DG EStilistas!? Mi chiedo con che criterio abbiano compilato la lista. E se il Microsoft Security Response Center lo sapesse».
Facebook, contattata in merito, ha risposto di non aver chiesto di essere inserita nella whitelist; anzi, ora che conosce la situazione ha richiesto di venir tolta.
Microsoft, dal canto proprio, non ha risposto direttamente ad alcuna domanda su questa questione, limitandosi a dichiarare che «Siamo quasi al punto in cui Flash non sarà più parte dell'esperienza predefinita in Microsoft Edge per qualsiasi sito, e i recenti cambiamenti apportati in febbraio sono stati il passo successivo secondo la tabella di marcia».
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator