Microsoft Edge разрешает Facebook запускать Flash без спроса

У браузера Microsoft Edge обнаружился скрытый файл, позволяющий Facebook обходить встроенную функцию, которая запрещает автоматически запускать элементы Flash на страницах сайтов. Файл представляет собой «белый» список доменов, которым разрешается не спрашивать пользователя относительно запуска Flash-контента.

Изначально об этом файле стало известно благодаря отчету эксперта проекта Google Project Zero Ивана Фратрика, который был опубликован 26 ноября.

В частности, Фратрик писал:

«В системах Microsoft Windows присутствует файл C:\Windows\system32\edgehtmlpluginpolicy.bin, содержащий белый список доменов, которым разрешено загружать Flash-контент без согласия пользователя браузера Microsoft Edge. Таким образом, этот механизм предназначен для обхода защиты “click2play“, которая подразумевает, что пользователь должен сознательно кликнуть на элементе, чтобы запустить его».

Нынешняя версия файла edgehtmlpluginpolicy.bin разрешет такое поведение только социальной сети Facebook. Следовательно, домены www.facebook.com и apps.facebook.com могут запускать Flash без разрешения пользователя.

Как известно, автозапуск Flash имеет определенные риски, из-за которых как раз были введены правила, допускающие запуск такого содержимого только с разрешения пользователя.

Стоит отметить, что оригинальный файл edgehtmlpluginpolicy.bin содержал 58 различных доменов, которые могли запускать потенциально опасный контент на страницах своих ресурсов.