Vid normal användning av Microsofts webbläsare Edge krävs en manuell handling för att exekvera innehåll av typen Adobe Flash; detta kallas click2play. Men i Windows finns en, om inte hemlig, så i vart fall väl gömd vitlista som tillåter att flash-innehåll på Facebook exekveras utan användarens aktiva medgivande.

Vitlistans sökväg är C:\Windows\system32\edgehtmlpluginpolicy.bin och det finns fler domäner än facebook.com på den listan. Uppgifterna kommer från Ivan Fratric på Googles Project Zero, som förvisso är part i målet med den konkurrerande webbläsaren Chrome, skriver Bleeping Computer.

I skrivande stund ligger det två Facebookdomäner på vitlistan, men innan Googles Project Zero publicerade sina rön om listan fanns där 58 domäner. Efter Googles rapport adresserade Microsoft frågan i den senaste patchtisdagen genom att alltså trimma ned listan till endast de två domänerna från Facebook och lägga till stöd för https, vilket inte fanns innan.

Domännamnen är hashade, men Bleeping Computer publicerar en lista med domännamnen i både hashat format och i klartext. Adobe Flash har genom åren haft stora sårbarheter och än idag släpper Adobe nya säkerhetsuppdateringar för Flash i princip varje månad. Microsoft har inte gjort mer än att trimma ned listan och lägga till https. Varför Microsoft väljer att ha vitlista för Flash till att börja med har dock inte framkommit.

Vän av ordning kan även undra över Microsoft kompetens att hasha domännamn (SHA256) när Project Zero, förvisso inga dumskallar, kan få fram domännamnen i klartext.

Läs också:
Dags att lappa Windows – här är den första säkerhetsuppdateringen 2019
Firefox har fått ny fart – bryter nedåtgående trenden