En 2017, Microsoft cambió su navegador Edge para que el contenido de Flash se ejecutara (o se deshabilitara) con un solo click, en prácticamente todos los sitios de la web. Sin embargo, algunos sitios deberían incluirse en una lista blanca debido a una combinación de dependencia de Flash y alta popularidad.

El objetivo de esta «lista blanca» era facilitar los movimientos usando HTML5 para crear un contenido interactivo interesante además de limitar el impacto de futuras vulnerabilidades de Flash. Al mismo tiempo, la lista permitiría que los sitios de contenido complejo que dependen de Flash siguieran funcionando. Si solamente unos cuantos sitios de confianza pueden ejecutar contenido Flash de forma predeterminada, debería de ser mucho más difícil para los agentes maliciosos aprovechar los fallos de Flash.

Otros navegadores adoptaron un enfoque similar. Google, por ejemplo, incluyó en una lista blanca los 10 principales sitios de uso de Flash durante un año después de cambiar a Chrome y a su «click para ejecutar».

Sin embargo, Google averiguó el funcionamiento de la lista blanca de Edge que su implementación dejaba mucho que desear. La lista de 58 sitios (56 de ellos han sido identificados por Google) incluían sitios como entradas con un número considerable de juegos Flash, Facebook, y hasta una web de un salón de belleza español.

De todos estos sitios identificados, varios de ellos tenían errores sobresalientes de scripting sin arreglar. Con este defecto, un atacante puede inyectar código en la página y hacer que parezca que el código proviene del propio sitio en cuestión. Además, algunos de los sitios no admitían conexiones seguras, lo que significa que sería sencillo manipular su tráfico para inyectar de manera similar contenido hostil de Flash.

Google informó debidamente del error a Microsoft y la semana pasada destruyó la lista blanca mediante la actualización de Patch Tuesday. Ahora, solamente dos dominios pueden cagar contenido Flash, www.facebook.com y apps.facebook.com. Igualmente, solamente se puede cargar el contenido de Flash de estos sitios cuando se accede de forma segura a través de HTTPS. El contenido de Flash también debe tener un tamaño superior a 398×298 píxeles, con lo cual debe de ser una página lo suficientemente grande como para ser ejecutada que la pueda diferenciar de un posible atacante que se cuela para introducir contenido malicioso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario