O Google Project Zero, divisão que investiga e detecta falhas em aplicativos e sistemas operacionais, descobriu uma falha no navegador da Microsoft, o Edge. O erro, apontado pelo pesquisador de segurança Ivan Fratric, permite executar o Adobe Flash no servidor sem o conhecimento do usuário.
Segundo o Xataka Windows, a situação se arrasta desde 2018, quando a equipe do Google Project Zero descobriu uma lista branca no Edge. Ela habilitava 58 endereços web de todos os tipos a executar códigos em Adobe Flash em qualquer dispositivo. Tudo isso, claro, sem que o afetado soubesse.
A Microsoft corrigiu o Edge assim que foi notificada, mas não conseguiu eliminar todas as ameaças. Mesmo que tenham atacado a raiz do problema, dois sites ainda têm permissão para executar o Flash — ambos de domínio do Facebook: o https://www.facebook.com e o https://apps.facebook.com. Isso significa que qualquer elemento de interface operado em Flash incluído nesses domínios pode violar as medidas de segurança da Microsoft.
Além disso, Fratric descobriu uma outra falha pela qual um site poderia “se esquivar” da política de Click-To-Run utilizada pelo Edge, que concede controle de acesso ao usuário. É ela que permite escolher entre aceitar ou negar a execução do serviço. Trata-se de uma falha de segurança importante, porque torna possível executar o Flash a partir desses domínios ou até mesmo por meio de um ataque man in the middle (MITM) — quando um terceiro intercepta os dados trocados na rede.
Navegador frágil: até quando?
Conforme aviso do site oficial do Windows, “quando se visita um endereço que quer carregar conteúdo Flash no Microsoft Edge a partir da atualização do Windows 10, pode-se perceber que certos aspectos do site não funcionam da maneira esperada. Isso pode resultar do bloqueio padrão do Flash à função Flash Click-To-Run”. Em teoria, essa deve ser a operação, mas, na prática, o funcionamento está comprometido.
Enquanto aguarda uma atualização para um mecanismo de renderização do Chromium, os problemas ainda estão no Edge. Essa situação é especialmente grave, pois significa que a segurança e a integridade dos dados do usuário estão em risco. Além disso, contradiz as políticas de privacidade do Edge, que luta contra essas práticas.
Fatos como esse, por outro lado, fazem um pequeno favor aos consumidores do Edge, um navegador com saúde tão “delicada” que a Microsoft já coloca data para sua morte. Na próxima atualização do Windows 10, marcada para outubro, o novo Edge provavelmente deve ser realidade.