Categories: BrowserWorkspace

Microsoft Edge führt geheime Whitelist für Adobe-Flash-Code

Der Microsoft-Browser Edge nutzt eine nicht öffentliche Whitelist, die es dort gelisteten Websites erlaubt, Inhalte für Adobes Flash Player wiederzugeben. Diese Websites sind zudem in der Lage, die Sicherheitsfunktion Click-to-Run zu umgehen, die normalerweise verhindert, dass Flash-Code ohne Wissen und Zustimmung des Nutzers ausgeführt wird.

Bis vor Kurzem enthielt die Whitelist von 58 Einträge, darunter Domains und Subdomains für Microsofts eigene Website, das MSN-Protal, Streaming-Dienste wie Deezer und TVNow, Yahoo und das chinesische Social Network QQ. Ausnahmen gab es aber auch für Online-Spiele von diversen Anbietern wie Goodgames, Turk Telekom, den österreichischen Mobilfunkanbieter A1 und einen spanischen Friseursalon.

Im November 2018 entdeckte der Google-Sicherheitsforscher Ivan Fratric die unter Windows 10 Version 1803 im Verzeichnis „C:\Windows\System32“ abgelegte Liste. Bei einer genaueren Analyse fand er zudem mehrere Schwachstellen, die er auch an Microsoft meldete. So kritisierte er, dass eine Cross-Site-Scripting-Lücke in einer der gelisteten Domains es jeder Website erlauben würde, die Click-to-Play-Richtlinie von Edge zu umgehen – vier der fraglichen Websites enthielten zudem öffentlich bekannte und nicht gepatchte XSS-Lücken.

Darüber hinaus stellte der Forscher fest, dass sich die Whitelist nicht auf Websites beschränkt, die HTTPS unterstützen. In dem Fall könne ein Hacker mithilfe eines Man-in-the-Middle-Angriffs die Click-to-Play-Richtlinie aushebeln.

Ein Patch von Microsoft steht nun seit 18. Februar zur Verfügung. Es stellt sicher, dass Flash-Inhalte nur über HTTPS-Verbindungen geladen werden. Außerdem reduziert es die Whitelist auf zwei Einträge, die beide zu Facebook gehören. Flash-Inhalte müssen zudem eine Größe von mindestens 398 mal 298 Pixel haben. Nutzer, die die Facebook-Website im Edge-Browser betrachten, müssen also weiterhin damit rechnen, dass ohne ihre Zustimmung Flash-Inhalte ausgeführt werden.

„So viele Seiten, bei denen ich verblüfft bin, warum sie da sind“, kommentierte Fratric. „Wie die Seite eines Friseurs in Spanien. Ich frage mich, wie die Liste entstanden ist. Und ob das Microsoft-Security-Team davon wusste.“

Eigentlich bereiten Browseranbieter und auch Adobe den Abschied des Flash Players vor. Bis Ende 2020 soll die Multimedia-Technik, die inzwischen durch HTML5 abgelöst wurde, vollständig aus allen wichtigen Browsern entfernt worden sein.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

1 Tag ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

1 Tag ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

3 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

3 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

4 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

4 Tagen ago