Microsoft corta ‘lista secreta’ de sites que podiam usar conteúdo em Flash no navegador Edge

Um pesquisador do Google descobriu que o navegador Edge, da Microsoft, tinha uma “lista secreta” de 58 sites autorizados a executar conteúdo de “Adobe Flash” e que diversos sites nessa lista tinham falhas conhecidas que poderiam permitir que um hacker burlasse o bloqueio geral existente no Flash desde 2017. Após a denúncia sobre a lista ser publicada, a Microsoft cortou a lista e manteve nela apenas dois endereços do Facebook.

O Flash é um plugin — um programa fora do navegador chamado para interpretar certos conteúdos da web. O Flash é considerado um risco à segurança na web: além de possuir vulnerabilidades, ele não é beneficiado pelas medidas de proteção adotadas pelos navegadores para limitar o impacto de ataques que podem instalar um vírus no computador com a simples visita a uma página web. Por esses motivos, e pelo crescente abandono do Flash, todos os navegadores adotaram um bloqueio geral do conteúdo.

No entanto, também foram adotadas listas para permitir que alguns sites muito dependentes de Flash continuassem reproduzindo esse conteúdo. O objetivo disso é garantir a compatibilidade do navegador com esses sites. O Flash era especialmente usado em jogos de navegador, em animações e na reprodução de conteúdo multimídia.

Na lista da Microsoft constavam sites como o Facebook, o Deezer, uma TV alemã, sites de jogos diversos e de músicas. A lista estava cifrada, o que exigiu que o pesquisador do Google utilizasse um método de força bruta (tentativa e erro) para descobrir os endereços dos sites autorizados. Dos 58, 2 sites não foram identificados.

De acordo com o relatório do Google sobre o caso, no entanto, alguns dos sites na lista tinham falhas do tipo Cross-site Scripting (XSS). Essas falhas permitem que hackers insiram conteúdo não autorizado dentro das páginas web. Embora essas falhas não representem risco para os sites, elas podem falsificar o conteúdo das páginas para um internauta que clicar em um link fornecido pelo hacker.

O Flash deve ser permanentemente descontinuado pela Adobe até 2020. Todas as funcionalidades do Flash – incluindo animações, vídeo e música – hoje fazem parte das tecnologias próprias da web, o que significa que sites não precisam mais chamar o plugin para esse tipo de conteúdo. No entanto, a conversão de conteúdo antigo não é simples de ser realizada.