Bijna 60 domeinen konden bij gebruikers van Microsoft Edge Flash-content uitvoeren zonder dat gebruikers hier toestemming voor moesten geven. Google-onderzoeker Ivan Fratric wist 56 van de 58 gehashte domeinen op de whitelist van Microsoft te kraken en ontdekte dat tal van opmerkelijke domeinen de Flash Click2Play-beveiliging van Edge mochten omzeilen.

Het ging onder andere om de website van een Spaanse kapper en een aanbieder van multimedia posters. De Click2Play-beveiliging zorgt ervoor dat gebruikers eerst op een bevestiging moeten klikken voordat de Flash-content wordt uitgevoerd. Volgens Fratric is de whitelist van Microsoft voor verschillende redenen onveilig. Zo is het mogelijk om via cross-site scripting op de gewhiteliste domeinen de Click2Play-beveiliging te omzeilen.

Fratric merkt op dat er verschillende bekende en ongepatchte cross-site scripting-kwetsbaarheden op een aantal van de gewhiteliste domeinen aanwezig zijn. De whitelist is daarnaast niet beperkt tot https, waardoor een aanvaller via een man-in-the-middle-aanval Click2Play kan omzeilen.

De Google-onderzoeker waarschuwde Microsoft op 26 november vorig jaar. Vorige week werd het probleem door Microsoft verholpen. De whitelist is naar twee domeinen teruggebracht en vereist nu de aanwezigheid van https.