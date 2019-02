Ivan Fratric, investigador de seguridad de Google Project Zero, encontró en noviembre del año pasado que el navegador Edge de Microsoft tenía una 'white list' (lista de excepciones) con 58 sitios web a los que se les permitía ejecutar comandos basados en Adobe Flash sin necesidad de que el usuario lo aprobara. Tras informar a Microsoft, la compañía envió una actualización que corregía esto, la cual eliminaba a la mayoría de los sitios web de dicha lista a excepción de dos, los cuales pertenecen a Facebook.

Lo curioso, y peligroso, de esta lista, es que aquellos sitios que se encuentren en ella podrán ejecutar código basado en Flash sin la aprobación previa del usuario, violando así las políticas de seguridad del mismo Edge que, en teoría, no permite la política de reproducción de clics (click2play) que muchos sitios usaban para activar funciones usando Flash y que ponían en riesgo la seguridad de los usuarios.

El descubrimiento de Ivan Fratric nos presentaba una lista de excepciones de 58 dominios y subdominios donde se incluían, por ejemplo, la web de Microsoft, el portal MSN, Deezer, Yahoo, la red social china QQ e incluso el sitio 'dgestilistas.es', que es una peluquería española.

Tras la actualización enviada por Microsoft para Edge, de los 58 dominios sólo se mantuvieron dos de ellos: https://www.facebook.com y https://apps.facebook.com. Se desconocen las razones, pero además de esto, Fratric descubrió nuevos fallos de seguridad en esta 'lista blanca':

The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I'm completely baffled as to why they're there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.