La buena noticia es que tras ser expuesta y reportada por investigadores de seguridad, Microsoft eliminó casi todos los sitios de la lista. La mala es que aún se mantienen dos excepciones y las dos son de Facebook.

La infame reputación del plugin de Flash es conocida, tanto que todos los navegadores modernos han decidido abandonar en mayor o menor medida su soporte. El mismo Edge, por seguridad, bloquea el contenido Flash por defecto en prácticamente toda la web, o exige que sea el usuario quien haga click para rerpoducirlo (click2play). Sin embargo, investigadores de Google Project Zero descubireron que este no era el caso para 58 sitios.

En Genbeta

En el panorama actual de navegadores, Chrome es quizás la opción más aburrida

El problema es que la lista de sitios, que incluía varios dominios de la web principal de Microsoft, de MSN, Yahoo, Deezer, la china QQ, y otros mucho menos conocidos y tan extraños como una peluquería, representaba en sí un problema de seguridad.

Varios de los sitios web en la lista blanca de Edge tenían múltiples vulnerabilidades

Ivan Fratric, el investigador que descubrió la lista, explica que esta era insegura por múltiples razones:

Una vulnerabilidad XSS en cualquiera de los dominios permitiría eludir la política de click2play
Ya existen instancias conocidas y no solucionadas de vulnerabilidades XSS en al menos algunos de los dominios incluidos en la lista blanca de …