Este comportamiento aparentemente está relacionado con la forma en que Flash Player es una función de activación por clic en Chrome ahora ( La discusión del foro de ayuda de Chrome sobre este comportamiento ). Si visita un SWF directamente, no le pedirá que haga clic para ejecutar, simplemente lo descargará en su lugar.
Si tuviera que ir a chrome://plugins/ y marcar "Permitir siempre que se ejecute", el SWF se reproducirá como lo hacía normalmente en el navegador directamente, sin el contenedor HTML. El hecho de que no le solicite que lo habilite no parece ser una decisión de seguridad.
¿Hay alguna razón de seguridad por la que el primer caso deba tratarse de manera diferente al segundo?
Dicho todo esto, sí, creo que habría.
Imagina que hay un sitio web, por ejemplo un foro antiguo, que te permite subir un avatar. Se espera que cargue un archivo de imagen, pero la comprobación del tipo de archivo es deficiente, y un atacante carga un archivo SWF malicioso para realizar un ataque XSS en los administradores del sitio. Ahora, el código HTML que se genera para este avatar, puede verse algo como esto:
<img src="http://example.com/user/123/avatar.swf" />
Eso no se ejecutará como un SWF, por lo que no hay HTML para el atacante. Entonces, en lugar de eso, el atacante engaña a los administradores para que hagan clic en un enlace a http://example.com/user/123/avatar.swf donde se carga el SWF , y ese SWF realiza el ataque XSS como usuarios privilegiados y PWN es el sitio.
Por supuesto, este riesgo no es exclusivo de Flash Player. Se podría realizar un ataque similar con JavaScript dentro de un SVG en lugar de un SWF.