Der Microsoft-Browser Edge nutzt eine nicht öffentliche Whitelist, die es dort gelisteten Websites erlaubt, Inhalte für Adobes Flash Player wiederzugeben. Diese Websites sind zudem in der Lage, die Sicherheitsfunktion Click-to-Run zu umgehen, die normalerweise verhindert, dass Flash-Code ohne Wissen und Zustimmung des Nutzers ausgeführt wird.
Im November 2018 entdeckte der Google-Sicherheitsforscher Ivan Fratric die unter Windows 10 Version 1803 im Verzeichnis „C:\Windows\System32“ abgelegte Liste. Bei einer genaueren Analyse fand er zudem mehrere Schwachstellen, die er auch an Microsoft meldete. So kritisierte er, dass eine Cross-Site-Scripting-Lücke in einer der gelisteten Domains es jeder Website erlauben würde, die Click-to-Play-Richtlinie von Edge zu umgehen – vier der fraglichen Websites enthielten zudem öffentlich bekannte und nicht gepatchte XSS-Lücken.
Darüber hinaus stellte der Forscher fest, dass sich die Whitelist nicht auf Websites beschränkt, die HTTPS unterstützen. In dem Fall könne ein Hacker mithilfe eines Man-in-the-Middle-Angriffs die Click-to-Play-Richtlinie aushebeln.
Ein Patch von Microsoft steht nun seit 18. Februar zur Verfügung. Es stellt sicher, dass Flash-Inhalte nur über HTTPS-Verbindungen geladen werden. Außerdem reduziert es die Whitelist auf zwei Einträge, die beide zu Facebook gehören. Flash-Inhalte müssen zudem eine Größe von mindestens 398 mal 298 Pixel haben. Nutzer, die die Facebook-Website im Edge-Browser betrachten, müssen also weiterhin damit rechnen, dass ohne ihre Zustimmung Flash-Inhalte ausgeführt werden.
„So viele Seiten, bei denen ich verblüfft bin, warum sie da sind“, kommentierte Fratric. „Wie die Seite eines Friseurs in Spanien. Ich frage mich, wie die Liste entstanden ist. Und ob das Microsoft-Security-Team davon wusste.“
Eigentlich bereiten Browseranbieter und auch Adobe den Abschied des Flash Players vor. Bis Ende 2020 soll die Multimedia-Technik, die inzwischen durch HTML5 abgelöst wurde, vollständig aus allen wichtigen Browsern entfernt worden sein.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.
Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…
Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…
Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.
Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…
Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…