Microsoft Edge'den Facebook'a İzinsiz Flash Çalıştırma Kıyağı

Microsoft Edge, yakın zamanda son nefesini verecek olsa da henüz herkesin veda ettiği bir tarayıcı değil. Google ise tabuta son birkaç çivi çakma niyetinde.

Google güvenlik uzmanları, Microsoft Edge'in bir beyaz listesi bulunduğunu ve bu beyaz listedeki sitelerden Facebook'un, kullanıcılarından habersiz Flash içerik oynattığını belirledi. Bu tarz bir içeriğin kullanıcıdan habersiz olarak oynatılması Edge'in politikasına da aykırı.

Listede yer alan ve Flash içerik oynatmasına izin verilen 58 site arasında MSN portalı, Deezer, Yahoo, Çin sosyal medya sitesi QQ gibi siteler de vardı. Microsoft bu listeyi 2 siteye kadar indirmeyi başardı. Listedeki iki alan adı da Facebook'a ait.

Google Zero güvenlik araştırmacıları güvenlik açıklarını da şöyle sıraladı:

XSS zaafiyeti nedeniyle tıkla-oyna politikasının aşılması sorunu yaşanabilir.

Beyaz listedeki alan adlarının en az bir kısmında, XSS açıkları için hali hazırda 'herkesçe bilinen' ve 'düzeltilmemiş' alanlar var.

Beyaz listeye sadece https alan adları alınmamış, bu durum XSS zaafiyeti olmasa bile MITM saldırganlarının tıkla-oyna politikasını aşmasına sebep olabilir.

Şu anda Edge, Facebook'ta boyu 398 x 298 pikselden daha büyük olan Flash eklentilere izin veriyor. Geri kalan sitelerde Flash içeriklerin oynatılması için kullanıcıların onayı gerekiyor.

Orijinal listenin nasıl oluşturulduğunu anlamadığını söyleyen Google çalışanı, listede İspanya'daki bir kuaförün alan adının da yer aldığını söylüyor.

Flash için perde 2020 yılında indirilecek ve Flash döneminin sonu gelmiş olacak. Microsoft da Edge için EdgeHTML'den vazgeçip Google Chromium kullanmaya başlayacak.