Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 252
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 252
    Points : 112 509
    Points
    112 509

    Par défaut La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash sans votre autorisation

    La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash,
    sans votre autorisation

    En 2017, Microsoft a modifié son navigateur Edge afin que, pour pouvoir exécuter du contenu Flash, l’utilisateur soit invité à cliquer sur les sites Web en question. Une poignée de sites devait cependant figurer sur une liste blanche, en raison d'une combinaison de dépendance à l'égard de Flash et d'une grande popularité.

    La liste blanche visait à faciliter le passage à un monde utilisant HTML5 pour un contenu interactif riche et à limiter l'impact de toute vulnérabilité future liée à Flash. Dans le même temps, l’objectif de la liste était de permettre aux sites disposant d’un contenu complexe dépendant de Flash de continuer à fonctionner. Si seuls quelques sites de confiance peuvent exécuter du contenu Flash par défaut, il devrait être beaucoup plus difficile pour les mauvais acteurs de tirer parti des failles de Flash. Une approche similaire a été adoptée par d'autres navigateurs. Google, par exemple, a ajouté les 10 meilleurs sites utilisant Flash à la liste blanche pendant un an après le basculement de Chrome sur le "click-to-run".

    Le navigateur Web Microsoft Edge est livré avec un fichier de liste blanche masqué conçu pour permettre à Facebook de contourner la stratégie de sécurité intégrée clik-to-run, établie pour autoriser la lecture du contenu Flash, sans avoir à demander le consentement de l'utilisateur.

    Selon le rapport de bogue initial déposé par Ivan Fratric de Google Project Zero :

    Citation Envoyé par Ivan Fratric
    Dans Microsoft Windows, il existe un fichier C: \ Windows \ system32 \ edgehtmlpluginpolicy.bin qui contient la liste blanche par défaut des domaines pouvant contourner Flash click2play et charger du contenu Flash sans confirmation de l'utilisateur dans Microsoft Edge.
    La version actuelle de la liste blanche Edge, auparavant secrète, permettra à Facebook de contourner la stratégie de lecture après clic de Flash uniquement sur ses domaines www.facebook.com et apps.facebook.com, stratégie actuellement appliquée pour tous les autres domaines non présents sur cette liste.

    Dans son rapport de bogue, le chercheur en matière de sécurité a également souligné les conséquences pour la sécurité de la liste blanche d’exécution automatique dans un navigateur Web, en particulier compte tenu du nombre de correctifs de sécurité Flash publiés par Adobe presque tous les mois.

    Citation Envoyé par Ivan Fratric
    Cette liste blanche n'est pas sécurisée pour plusieurs raisons:
    • Une vulnérabilité XSS sur l’un des domaines permettrait de contourner la stratégie click2play.
    • Il existe déjà des occurrences de vulnérabilités XSS connues et non corrigées sur au moins certains des domaines de la liste blanche, par exemple https://www.openbugbounty.org/reports/582253/ et HTTPS: //www.openbugbounty. org / reports / 444528 / et https://www.openbugbounty.org/reports/130555/
    • La liste blanche n'est pas limitée à HTTPS (cela ne fonctionnerait de toute façon pas, certains domaines de la liste blanche ne supportant pas du tout HTTPS). Même en l'absence d'une vulnérabilité XSS, cela permettrait à un attaquant de MITM de contourner la stratégie click2play.
    Nom : edge.jpg
Affichages : 2585
Taille : 18,9 Ko

    En clair, parmi ces sites, plusieurs présentaient des vulnérabilités XSS (cross-site scripting) non colmatées. Une vulnérabilité de type Cross Site Scripting, injection de code indirecte en français, est exploitable sur les serveurs web ou sur les applications web qui publient du texte fourni par le visiteur sans l’avoir filtré. Un utilisateur malintentionné peut, en utilisant cette vulnérabilité, insérer du code dans une page HTML renvoyée dynamiquement par le serveur. Ce code est généralement écrit dans un langage de script (par exemple JavaScript ou VBscript) qui est interprété par le navigateur de la victime. Ce code peut, à son tour, être utilisé pour charger du contenu Flash exploitant des bogues dans le lecteur Flash. En outre, un certain nombre de sites ne prennent pas en charge les connexions sécurisées, ce qui signifie qu'il serait facile de manipuler leur trafic de manière similaire pour injecter du contenu Flash hostile.

    La liste blanche

    Le problème signalé par Fratric a été partiellement résolu par Microsoft lors du Patch Tuesday de ce mois-ci en réduisant la liste blanche aux deux domaines Facebook et en prenant en charge HTTPS en tant que condition requise pour toutes les entrées de la liste blanche afin de limiter la possibilité d'attaques MITM.

    Cependant, en novembre, le chercheur en sécurité a initialement trouvé dans la liste blanche les hachages sha256 de 58 domaines sous Windows 10 v1803, qu'il avait pu décrypter et il a obtenu les noms des 56 sites noms de domaines figurant sur la liste blanche. Il a rendu les hash disponibles avec les noms de domaines correspondants :
    1. 01d004ae59fe9d0902b0e4526999432118199654f78b0384e4eb983e986d562d:3:www.pogo.com
    2. 0309388894379c1e0d01081f6f4d5d4412a82dc5b9bd66476de2270b361cecfd:1:www.wasu.cn
    3. 0ae9eeba3229fa449ff5fcf42692cad2305e14933a6102187e94c48346ab8c9d:1:www.tvnow.de
    4. 0bc8e61a5970eb325f02148c05b79d60a9a0462efc18a6a60b7f8cd2dc84ccbc:1:chushou.tv
    5. 0bfc80d67c9b57f3f1bb978344c8d8d6ac19786e261f98c1c9735f6ba5ec344c:1:more2.starfall.com
    6. 1136593de37540f6f5396fdbbf93aa070c2b1c844d2d3d06de5373831a9df3bf:1:loa.gtarcade.com
    7. 12055be963e0f2c7786d1283d343afbaac921513a985a21f5f83b6a82b9582e9:1:nseindia.com
    8. 12c3d9b1a0a1f33a7d7ab1b4ccb53c1163210ee527ad5336175eb40ff1fcfe45:1:
    9. 2135e9b55346dd4146bbfae6f0cc896a39688d3287a952f63ae222837e5de152:1:www.wgt.com
    10. 22af4cad3e57873a50693fe36d6385795ae6c56e4d0d759530f263db571a6b2c:1:netgauge.unitel.ao
    11. 2df0e6efc506a72a4c9e91ebebe70cf8252f1ffbd8b483043b1a856b75d13ce9:1:www.icourses.cn
    12. 2f87a652a9d2880a3ad580ec4a91bde3f4d2d32ac8f792d4258518d46330870f:1:www.la7.it
    13. 2f9f879f017ebe4d6f71a0755eee3b08a5f757c0d011112ded94e6b337b3b520:1:www.dgestilistas.es
    14. 348374ff89afe5693015c3d38758c83867c180a8010372a564c8f5eeaf9b5d0b:1:www.zxxk.com
    15. 3c23924f2f71c05d3b484fbaaa6e4ab4319d5bb3f0a002688132aa0f8434fd3b:1:weathernews.jp
    16. 46bdf3a01ab608d1a5e68923532e610ff7725a68d4bb063c96c8dedd4617404a:9:bigfarm.goodgamestudios.com
    17. 4740f56f40ed20eddb576ae29fdf0c507dd06681e949bda8be5611eaf3ad9d3d:1:www.facebook.com
    18. 4779eb7f42cc6736ca2b1e52449799705214f2542fa4cf952e741d8dd5efad31:1:www.deezer.com
    19. 4f5db25a3bd2f1abf3dd1a509b2e1a6d81b9ba4428f333454c29d93e794150bc:1:
    20. 515563682e9bfc44b6fed4459149f83ba7f207bf53f6a0208156ac7c46e59d92:1:yahoo-mbga.jp
    21. 51bfa3e340a5ff7dfa37ad7ad409e5a214caadd0f82fc1fef82d38b766c2f088:1:ok.ru
    22. 563d53ee90b355ebd7558c2d9f3bee94489d406c565f9ed5741fb59bbc734544:1:seer.61.com
    23. 5b13e0a388860a0f136eefdd36d2f57fb81f46588ca85e7d93a4fd24cf6462f8:9:empire.goodgamestudios.com
    24. 5e7fc524d10f21da23bc43f24de00967094d69d6f4ccda277fff7042024c3ce5:1:www.friv.com
    25. 5f832e1442b497050d79cd18b32de807e4201a3181929ade823112defa6c1079:1:video.baomihua.com
    26. 64e2991629e5e208874400bc1ea0161fb064f1c2397b1cedc3bb282ea3f4ee3b:1:hiztesti.turktelekom.com.tr
    27. 6793b64c0ccc547a01b8b6982318e25ae3dc0b91dfc09366c7f1f1b3a7fa127e:1:www.scholastic.com
    28. 68fc10e638f0bb2e25149d2ef8d3d87cf318bbf2de7c9aa74131d53e926fe79e:1:www.viz.com
    29. 881bcca2199248b7c82ed14cb1dbd6e87ac9ea899d1f9f02d13d29e837487782:1:www.dilidili.wang
    30. 89ac7d2d82b6a2ef952e3d627853180fb250167ed56b893647814e8374d4f5cd:1:games.aarp.org
    31. 900da7ee51cf43450699d9cd11e3cf6ba8d2d04d9d836cd359281d7791e328af:1:www.douyu.com
    32. 9adea347b4e793529c9a5e1a35e2aa7c88772b7e2a086d2d24a4f8ccbb20e3ac:1:rc.qzone.qq.com
    33. 9c97a59b30e879d3245139795adea4380f62e4e14149025f12f69eb3b532e518:1:www.nicovideo.jp
    34. a2cf2fe6a8822459d81d15b1327b5bac601bafc460fafa716bc2dcc21e9ab50e:1:www.mynet.com
    35. a77de76633b0717c62034512fb5c3fbb50633ad9b5ebef7a8acf180e455a3025:1:www.hotstar.com
    36. ad973e7d68dd2c1a8e9f04886e34db40021e1e76eff3bbc53e7ab8934688a4ed:1:www.4399.com
    37. b61f47eb2fc64b2ad7ee4ae780ea0ac1a886b4f02f1ec8da77db13f920b4874b:1:www.bilibili.com
    38. ba33c2367ea9f0c66b5b3f345be68a0287a96ca797654c0bf9b2e584d2809ccb:1:www.msn.com
    39. ba3bc78ec1f427cba6e22cbd63dae305814ca0f0740c0dbd494f804fcaef671a:1:zone.msn.com
    40. c2fda282c3b5875eaeb6d27ecf62b995684d5739ba1e4082d265dd28dd98ef70:1:www.worldsurfleague.com
    41. ca6efef88504373a9406ed9a31b430d6df8bb60ea630ac698b0d7c4dab0faf7a:1:www.stupidvideos.com
    42. d833be74b7f95eb0ac133c5aa06c71b7792b5051b1a369740694e78525a4d872:4:entitlement.auth.adobe.com
    43. dd0f56a6b1a1f2908f4ff45438ffa5e05679375ed0aade8e3ab36bf4c0bd40f4:1:video.fc2.com
    44. dd2ab62df5da52e66844171efc4415a087cc1a8c432312d814a62da582f40e2d:1:www.ontvtime.ru
    45. ddf38cb97def571ec55f58d372db15fe6ee01578adc85b1087823d239d758af8:1:apps.facebook.com
    46. e2f07d2fb0e6beac78d55962dda9ebcedba6c3ba30bf83b0880fae69d29537bf:1:www.totaljerkface.com
    47. e35635613116ae9266c41348d2f4978f093c2fe75ae91f010ad23c1be31b833c:1:www.hungamatv.com
    48. e39ce3cd42a88216ff9060e8b136bdc153f52322f259321a5925e629659684f8:1:edu.glogster.com
    49. e4003a967100eb3a92e9148a51e7cd302e6ca4bcc34566c671378a4b0756ef66:1:v.pptv.com
    50. e4dcd660eae7eeb1ea42050b6dcb108a9bedf1a66e3791438c6abe1efc907e1b:1:life.pigg.ameba.jp
    51. e57c8c0083d4ea6fb4b390682d8ad3dffaeda2d37d1c11b9d29418b4a318e1a9:1:www.panda.tv
    52. e7bce4b54da6dda25cabbe9da2359fe2833c94ec1ce3edd67077a089ed76ef31:1:www.vudu.com
    53. e9ce06c9a6a05878802f64fac17399cc0a8452c652403445995a90dc9b19401d:1:www.nseindia.com
    54. ef7f6be560fb99cff749ac35415beeed4aa86f40e10138858289dde1284661c9:1:music.microsoft.com
    55. f2313491b771d1180f9c4e9cf979820e276a7833859555976dbf4a529cb2189f:1:en.ikariam.gameforge.com
    56. f4f46a8b3a55ffb3e3784e6743266ed8d7cd2fdd21f494a82e2772fc68590d1b:1:www.deraktionaer.tv
    57. fcb0eec77983791a7eeb971a2320f38cdbac2ca16cf3f418f83a00a4338eafd4:1:www.a1.net
    58. fee3af1754656ed83ba706b46c6fa570b020ff79ad84b5adee4882fbf6adaf0e:1:www.poptropica.com

    Citation Envoyé par Ivan Fratric
    Comme on peut le voir d'après les noms de domaine en clair, la liste est assez large et contient un grand nombre de sites que je ne m'attendrais pas personnellement à trouver sur une telle liste blanche.

    La valeur d'indicateur d'autorisation la plus courante (1) indique que le site est autorisé à charger du contenu Flash si:
    a) le contenu Flash est hébergé sur le même domaine * OU *
    b) l'élément contenant Flash est supérieur à 398x298 pixels
    comme on peut le voir dans FlashClickToRunHelper :: DetermineControlAction
    .
    Source : billet Ivan Fratric

    Voir aussi :

    Microsoft tente de lutter contre les fake news avec l'intégration de l'extension NewsGuard dans son navigateur mobile Edge
    Google nie avoir modifié intentionnellement YouTube pour casser des fonctionnalités de Microsoft Edge, la firme évoque plutôt un bogue
    Un ancien stagiaire de l'équipe Edge prétend que le navigateur a été saboté par Google, ce qui aurait poussé Microsoft à passer à Chromium
    Comme Microsoft Edge, Brave adopte à son tour Chromium avec Brave 0.57 et assure que la nouvelle version de son navigateur est plus rapide de 22%
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    décembre 2009
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : décembre 2009
    Messages : 29
    Points : 46
    Points
    46

    Par défaut

    Sympa la neutralité du net avec Microsoft

  3. #3
    Membre habitué Avatar de jvallois
    Homme Profil pro
    Enseignant
    Inscrit en
    février 2013
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aisne (Picardie)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2013
    Messages : 35
    Points : 171
    Points
    171

    Par défaut

    Et j'imagine qu'il n'est pas possible de modifier cette liste, voire que celle-ci est restaurée si on essaie de l'effacer ?

  4. #4
    Membre à l'essai
    Homme Profil pro
    Technicien Help Desk
    Inscrit en
    septembre 2018
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Technicien Help Desk
    Secteur : Industrie

    Informations forums :
    Inscription : septembre 2018
    Messages : 13
    Points : 12
    Points
    12

    Par défaut @jvallois

    @jvallois T'inquete pas déjà a chaque màj tous est reset.
    De base.

Discussions similaires

  1. Réponses: 0
    Dernier message: 19/02/2018, 19h03
  2. SquidGuard liste blanche
    Par espoireproxy dans le forum Administration système
    Réponses: 0
    Dernier message: 15/05/2012, 18h40
  3. Une liste blanche d'exécutables pour l'UAC
    Par shawn12 dans le forum Windows 7
    Réponses: 6
    Dernier message: 29/09/2009, 11h02
  4. Filtrage adresses IP sortantes par liste blanche
    Par sunchai dans le forum Hardware
    Réponses: 4
    Dernier message: 01/02/2006, 12h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo