La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash
Une vulnérabilité de type Cross Site Scripting, injection de code indirecte en français, est exploitable sur les serveurs web ou sur les applications web qui publient du texte fourni par le visiteur sans l’avoir filtré.
Un utilisateur malintentionné peut, en utilisant cette vulnérabilité, insérer du code dans une page HTML renvoyée dynamiquement par le serveur.
Ce code est généralement écrit dans un langage de script (par exemple JavaScript ou VBscript) qui est interprété par le navigateur de la victime.
Ce code peut, à son tour, être utilisé pour charger du contenu Flash exploitant des bogues dans le lecteur Flash.
En outre, un certain nombre de sites ne prennent pas en charge les connexions sécurisées, ce qui signifie qu'il serait facile de manipuler leur trafic de manière similaire pour injecter du contenu Flash hostile.
La liste blanche
Le problème signalé par Fratric a été partiellement résolu par Microsoft lors du Patch Tuesday de ce mois-ci en réduisant la liste blanche aux deux domaines Facebook et en prenant en charge HTTPS en tant que condition requise pour toutes les entrées de la liste blanche afin de limiter la possibilité d'attaques MITM.
Cependant, en novembre, le chercheur en sécurité a initialement trouvé dans la liste blanche les hachages sha256 de 58 domaines sous Windows 10 v1803, qu'il avait pu décrypter et il a obtenu les noms des 56 sites noms de domaines figurant sur la liste blanche.
Il a rendu les hash disponibles avec les noms de domaines corresponUne vulnérabilité XSS sur l’un des domaines permettrait de contourner la stratégie click2play.
En 2017, Microsoft a modifié son navigateur Edge afin que, pour pouvoir exécuter du contenu Flash, l’utilisateur soit invité à cliquer sur les sites Web en question.Une vulnérabilité XSS sur l’un des domaines permettrait de contourner la stratégie click2play.
Une lourde dette informatique
Malgré son âge, (ou peut-être par la force de l’habitude), les internautes continuent à utiliser Internet Explorer par millions. Or, il existe un danger à utiliser Internet Explorer.
Le problème porte le nom de « dette informatique ». Internet explorer ne peut plus à la fois supporter toutes les anciennes applications (développées depuis des années) et les futures applications qui reposeront sur de nouvelles technologies.
Dès lors, les informaticiens développent maintenant leurs applications pour les navigateurs modernes. Et plus pour Internet explorer. Un peu comme si Internet Explorer, était devenu une usine à gaz que plus personne ne veut maintenir.
Un mauvais moment à passer pour Microsoft
La chute des ventes de PC (qui est maintenant stabilisée) a réduit l’emprise de Windows sur le marché IT.
Il y a peu, l’éditeur avait déjà dû abandonner sa version Windows mobile pour smartphone. Et comme si cela ne suffisait pas, Microsoft commence à jouer profil bas avec son assistant intelligent Cortana, dépassé par Google et Amazon. On est loin de la superbe des années 2005.
Mais alors, vers qui se tourner pour remplacer Internet explorer
Pour le savoir, il suffit de consulter les chiffres de StatCounter qui tient des statistiques mondiales de l’usage des navigateurs.
Sur le marché des ordinateurs -en 4 ans- Chrome, le navigateur de Google est passé, au niveau mondial de 52 à 70%. Dans le même temps, Internet explorer a chuté de près de 20% à moins de 6%. Firefox, à la peine, descend sous les 10% et Safari (de Apple) plafonne logiquement à 5%. Opera, avec ses 2,3%, est en train de disparaître des radars
C’est donc clair, Google est d’autant mieux placé aujourd’hui que dans l’univers mobile, son système Android occupe 85% des smartphones. L’argent nécessaire au développement de Chrome est donc largement assuré.
Selon le rapport de bogue initial déposé par Ivan Fratric de Google Project Zero :
Envoyé par Ivan Fratric
Dans Microsoft Windows, il existe un fichier C: \ Windows \ system32 \ edgehtmlpluginpolicy.bin qui contient la liste blanche par défaut des domaines pouvant contourner Flash click2play et charger du contenu Flash sans confirmation de l'utilisateur dans Microsoft Edge.
La version actuelle de la liste blanche Edge, auparavant secrète, permettra à Facebook de contourner la stratégie de lecture après clic de Flash uniquement sur ses domaines www.facebook.com et apps.facebook.com, stratégie actuellement appliquée pour tous les autres domaines non présents sur cette liste.
Dans son rapport de bogue, le chercheur en matière de sécurité a également souligné les conséquences pour la sécurité de la liste blanche d’exécution automatique dans un navigateur Web, en particulier compte tenu du nombre de correctifs de sécurité Flash publiés par Adobe presque tous les mois.
Il existe déjà des occurrences de vulnérabilités XSS connues et non corrigées sur au moins certains des domaines de la liste blanche, par exemple https://www.openbugbounty.org/reports/582253/ et HTTPS: //www.openbugbounty. org / reports / 444528 / et https://www.openbugbounty.org/reports/130555/
La liste blanche n'est pas limitée à HTTPS (cela ne fonctionnerait de toute façon pas, certains domaines de la liste blanche ne supportant pas du tout HTTPS). Même en l'absence d'une vulnérabilité XSS, cela permettrait à un attaquant de MITM de contourner la stratégie click2play.
Il existe déjà des occurrences de vulnérabilités XSS connues et non corrigées sur au moins certains des domaines de la liste blanche, par exemple https://www.openbugbounty.org/reports/582253/ et HTTPS: //www.openbugbounty. org / reports / 444528 / et https://www.openbugbounty.org/reports/130555/
La liste blanche n'est pas limitée à HTTPS (cela ne fonctionnerait de toute façon pas, certains domaines de la liste blanche ne supportant pas du tout HTTPS).
Même en l'absence d'une vulnérabilité XSS, cela permettrait à un attaquant de MITM de contourner la stratégie click2play.dants :
En 2017, Microsoft a modifié son navigateur Edge afin que, pour pouvoir exécuter du contenu Flash, l’utilisateur soit invité à cliquer sur les sites Web en question.
Une poignée de sites devait cependant figurer sur une liste blanche, en raison d'une combinaison de dépendance à l'égard de Flash et d'une grande popularité.
La liste blanche visait à faciliter le passage à un monde utilisant HTML5 pour un contenu interactif riche et à limiter l'impact de toute vulnérabilité future liée à Flash.
Dans le même temps, l’objectif de la liste était de permettre aux sites disposant d’un contenu complexe dépendant de Flash de continuer à fonctionner.
Si seuls quelques sites de confiance peuvent exécuter du contenu Flash par défaut, il devrait être beaucoup plus difficile pour les mauvais acteurs de tirer parti des failles de Flash. Une approche similaire a été adoptée par d'autres navigateurs.
Google, par exemple, a ajouté les 10 meilleurs sites utilisant Flash à la liste blanche pendant un an après le basculement de Chrome sur le "click-to-run".
Le navigateur Web Microsoft Edge est livré avec un fichier de liste blanche masqué conçu pour permettre à Facebook de contourner la stratégie de sécurité intégrée clik-to-run, établie pour autoriser la lecture du contenu Flash, sans avoir à demander le consentement de l'utilisateur.
Selon le rapport de bogue initial déposé par Ivan Fratric de Google Project Zero :
Dans Microsoft Windows, il existe un fichier C: \ Windows \ system32 \ edgehtmlpluginpolicy.bin qui contient la liste blanche par défaut des domaines pouvant contourner Flash click2play et charger du contenu Flash sans confirmation de l'utilisateur dans Microsoft Edge.
La version actuelle de la liste blanche Edge, auparavant secrète, permettra à Facebook de contourner la stratégie de lecture après clic de Flash uniquement sur ses domaines www.facebook.com et apps.facebook.com, stratégie actuellement appliquée pour tous les autres domaines non présents sur cette liste.
Dans son rapport de bogue, le chercheur en matière de sécurité a également souligné les conséquences pour la sécurité de la liste blanche d’exécution automatique dans un navigateur Web, en particulier compte tenu du nombre de correctifs de sécurité Flash publiés par Adobe presque tous les mois.
Samsung Galaxy F (ou Fold) : tout ce que l’on sait sur le smartphone pliable
Teasé pendant de longues années, le smartphone pliable de Samsung, le Galaxy F ou Galaxy Fold, a enfin pointé le bout de son nez début novembre 2018.
Avant que le groupe coréen ne le présente officiellement le 20 février 2019 lors d’une conférence Unpacked. C’était un 7 novembre 2018, à l’occasion de la Samsung Developer Conference, …
La clarté avant l’originalité
Pour rappel, « fold » signifie « plier » en français. Samsung aurait donc opté pour un nom assez académique qui, s’il manque d’originalité, aura au moins le mérite d’être parfaitement clair.
Précisons aussi qu’Evan Blass ne se trompe que très rarement sur les informations qu’il livre en avant-première. Rendez-vous mercredi à 20 heures (heure en métropole) pour découvrir ce que Samsung a concocté.
Le 20 février prochain, Samsung va dévoiler ses nouveaux Galaxy S10, S10+ et S10e. En plus de ces trois smartphones, on s’attend aussi à l’officialisation d’accessoires connectés. Mais le clou du spectacle pourrait être une petite apparition du smartphone pliable sur le lequel travail le constructeur depuis plusieurs années.
Pour rappel, Samsung avait déjà fait une très courte démonstration de son écran Galaxy Infinity Flex Display fin 2018. Mais le prototype présenté était encore grandement masqué par une immense coque protectrice.
Mercredi 20 février, l’appareil pourrait se dévoiler un peu plus franchement à en croire un récent teaser publié par le géant sud-coréen.
À cette occasion, il n’est pas exclu que Samsung dévoile le nom officiel qu’il souhaite attribuer à son smartphone pliable quand il sera prêt. Cela fait un moment que la presse et les analystes utilisent le nom de code « Galaxy F » pour désigner ce futur produit.
Or, si on se fie à un tout récent tweet du bien informé Evan Blass, le téléphone s’appellerait « Samsung Galaxy Fold ».
Samsung : en toute originalité, le smartphone pliable devrait bien s’appeler Galaxy Fold.
Samsung Galaxy Fold. Comme on s’y attendait, cela devrait bel et bien être le nom du smartphone pliable que prépare le leader du marché. Le leaker Evan Blass a corroboré cette information.
Le Galaxy Fold sera-t-il le prochain Note ? Ce premier téléphone pliable n’est clairement pas le modèle qui va propulser la catégorie vers le grand public. Son prix qui déplie aussi le portefeuille l’en empêchera de toute façon.
En revanche, il a le mérite d’être le premier à lancer sérieusement cet hybride d’un nouveau genre, et Samsung n’avance pas en solitaire.
Google a déjà dévoilé ses plans pour la prise en charge des écrans pliables dans Android, et on sait combien le support natif d’une technologie au niveau de l’OS est important pour emmener les développeurs d’applications tierces.
Microsoft a dans ses cartons le projet Andromeda, serpent de mer qui refait surface régulièrement. La firme de Redmond a aussi annoncé travailler sur le sujet pour les prochaines versions de Windows 10. Le futur sera pliable ou pas, mais en tout cas, il ne s’est pas encore complètement déployé.
Ne faites jamais confiance à la V1
La Surface Pro, dans ses dernières incarnations, est aujourd’hui mon PC portable préféré. Pourquoi ? Parce que Microsoft a su constamment affiner son produit, l’améliorer en tenant compte de ses erreurs passées, pour en faire un modèle de ce qu’une tablette hybride peut être.
Samsung est un habitué de ce mode de fonctionnement. Et il a fait, souvent, sa réussite. Parfois même au-delà de ses espérances. En lançant le Galaxy Note en 2011, le constructeur pensait-il que 5 ans plus tard, son format deviendrait le standard ?
Aujourd’hui tous les smartphones ou presque sont au moins aussi grands qu’un Galaxy Note. La diagonale de 5,3 pouces du Note original paraîtrait même petite selon les standards actuels. Et pourtant, là encore, on s’en moquait, de ce smartphone/tablette au stylet éjectable.
Parce qu’on était formaté par la pensée dominante de l’époque, parce qu’on nous avait inculqué qu’un smartphone de plus de 4 pouces n’avait aucun intérêt, et que « quand on voit un stylet, c’est qu’ils se sont plantés ».
Autre phrase qui me fait bien rigoler en 2019.
Commentaires