Microsoft Edgeの秘密のFlashホワイトリストについて

MicrosoftのEdge Webブラウザーユーザーは、クリックすることなくFlashコンテンツを実行し、含まれるサイトで保護を再生できる秘密のFlashホワイトリストを使用します。

MicrosoftのWindows 10オペレーティングシステムのデフォルトブラウザーであるMicrosoft Edgeは、Adobe Flashをネイティブにサポートしています。 FlashはブラウザでClick-to-Playに設定されており、ユーザーはブラウザの設定でFlashを完全に無効にすることができます。

Microsoftは、Flashで発見されたセキュリティ問題を修正するために、会社の月例パッチ日にFlashアップデートを定期的にリリースしています。

最近、Microsoftがユーザーの操作なしで58の異なるドメインでFlashコンテンツを実行できるFlashホワイトリストを実装したことが明らかになりました。 そのリストのサイトには、Deezer、Facebook、MSNポータル、Yahoo、またはQQが含まれていましたが、スペインのヘアサロンのようなリストには必ずしも期待されないエントリも含まれていました。

Microsoftは、今月のPatch Tuesdayアップデートのリストを2つのFacebookエントリに限定し、Googleエンジニアが2018年後半に同社にバグレポートを提出した後、これらのサイトでHTTPSの使用を強制しました。

Microsoftはリストを難読化し、Googleのエンジニアは既知の人気のあるドメイン名の辞書を使用してリストを解読する必要がありました。

バグレポートによると、Flashコンテンツは、ホワイトリストに登録されたドメインのいずれかでホストされている場合、またはFlash要素が398x298ピクセルより大きい場合にロードできます。

攻撃者はこのリストを悪用して、クリックツープレイポリシーを完全にバイパスしたり、含まれるサイトの一部でXSS脆弱性を使用したりする可能性があります。 Microsoft Edgeは、他のすべてのサイトでFlash Click to Playポリシーを尊重しています。 ユーザーは、ホワイトリストに登録されていないサイトのMicrosoft EdgeでFlashコンテンツの実行を許可する必要があります。

マイクロソフトがホワイトリストを追加した理由は不明です。 選択したサイトの互換性を改善するためにそうすることは可能です。 FlashコンテンツをまだホストしているFlashbookのような主要なサイトでは理にかなっていますが、Microsoftがリストの作成に使用したパラメーターは不明です。

このリストには、Flashゲームをホストするアーケードサイトが含まれていますが、Flashゲームもホストしている同様に人気のあるアーケードサイトはリストされていません。 いくつかのサイトがリストに載っていて、他のサイトはリストに載っていないのは不可解です。 いくつかのサイトが追加された可能性があります

Microsoftにコメントを求めましたが、まだ返事はありません。 追加情報が明らかになった場合、記事を更新します。

終わりの言葉

MicrosoftがEdgeのセキュリティ機能を強調することを決して失敗しないことを考えると、MicrosoftがEdgeブラウザにFlashホワイトリストを追加することは不可解です。 ユーザーの許可なしにサイトがFlashコンテンツを実行できるようにすることは、人気のあるサイトであっても、セキュリティの観点から非常に問題があります。

制御を奪い、ユーザーに事実を開示しないことは、セキュリティの観点からだけでなく、信頼に関しても非常に問題です。

さて、あなた :これについてどう思いますか?