Microsoft Edge laat Facebook zonder toestemming Flash-content draaien

Webbrowser Microsoft Edge blijkt een geheime whitelist te bevatten. Die laat Facebook Adobe Flash-code draaien zonder dat de gebruiker zich daar bewust van is of toestemming gegeven heeft. De whitelist stelt Facebook er toe in staat om bepaalde veiligheidseisen die gelden voor Flash te omzeilen.

Normaliter is het verplicht voor een website om toestemming van de gebruiker te vragen, alvorens er Flash-content gedraaid wordt. Ivan Fratric, onderzoeker van Google Project Zero meldt echter dat er tot februari 2019 een zeer uitgebreide geheime whitelist in Microsoft Edge bestond. Die whitelist omvatte 58 domeinen die deze veiligheidsmaatregelen mochten omzeilen. Ondertussen is de whitelist teruggebracht to twee domeinen van Facebook.

Kwetsbaarheden ontdekt

Volgens Fratric stonden er onder meer domeinen en subdomeinen van de hoofdsite van Microsoft, maar ook het MSN-portal, muziekstreamingdienst Deezer, Yahoo en het Chinese sociale netwerk QQ op de lijst. Er bleken verder bepaalde kwetsbaarheden te zitten in de manier waarop de whitelist werkt. Daardoor kon bijvoorbeeld de site van een Spaanse kapper ook een uitzondering krijgen. Fratric meldde de kwetsbaarheden in november bij Microsoft.

Bij Patch Tuesday bracht Microsoft deze maand eindelijk fixes uit voor de gemelde problemen. Niet alleen zijn die problemen opgelost, ook is het aantal sites op de whitelist flink teruggebracht. Van de 58 domeinen die oorspronkelijk uitgezonderd waren, zijn er nog maar twee over. Daarnaast moeten alle domeinen op de whitelist een https-domein zijn. Interessant is dat bij de bugreport ook meteen een lijst met alle 58 oorspronkelijk uitgezonderde domeinen te vinden is.

Facebook uitgezonderd

In de huidige versie laat Edge enkel Facebook nog Flash-widgets uitvoeren zonder dat gebruikers daar toestemming voor hebben gegeven. Het gaat om widgets van maximaal 398 bij 298 pixels, die gehost zijn op https://www.facebook.com of https://apps.facebook.com. Vermoedelijk is de keuze voor Facebook gemaakt omdat veel van de games op het sociale netwerk nog altijd draaien op Flash. Voor alle andere Flash-widgets op andere sites, vraagt Edge nu gewoon toestemming van de gebruiker.

Dat betekent dat een site dus niet langer Flash mag uitvoeren zonder dat de gebruiker daar specifiek toestemming voor geeft. Op Twitter spreekt Fratric nog eens zijn verbazing uit over de whitelist: