Der Microsoft-Browser Edge nutzt eine nicht öffentliche Whitelist, die es dort gelisteten Websites erlaubt, Inhalte für Adobes Flash Player wiederzugeben. Diese Websites sind zudem in der Lage, die Sicherheitsfunktion Click-to-Run zu umgehen, die normalerweise verhindert, dass Flash-Code ohne Wissen und Zustimmung des Nutzers ausgeführt wird.
Im November 2018 entdeckte der Google-Sicherheitsforscher Ivan Fratric die unter Windows 10 Version 1803 im Verzeichnis „C:\Windows\System32“ abgelegte Liste. Bei einer genaueren Analyse fand er zudem mehrere Schwachstellen, die er auch an Microsoft meldete. So kritisierte er, dass eine Cross-Site-Scripting-Lücke in einer der gelisteten Domains es jeder Website erlauben würde, die Click-to-Play-Richtlinie von Edge zu umgehen – vier der fraglichen Websites enthielten zudem öffentlich bekannte und nicht gepatchte XSS-Lücken.
Darüber hinaus stellte der Forscher fest, dass sich die Whitelist nicht auf Websites beschränkt, die HTTPS unterstützen. In dem Fall könne ein Hacker mithilfe eines Man-in-the-Middle-Angriffs die Click-to-Play-Richtlinie aushebeln.
Ein Patch von Microsoft steht nun seit 18. Februar zur Verfügung. Es stellt sicher, dass Flash-Inhalte nur über HTTPS-Verbindungen geladen werden. Außerdem reduziert es die Whitelist auf zwei Einträge, die beide zu Facebook gehören. Flash-Inhalte müssen zudem eine Größe von mindestens 398 mal 298 Pixel haben. Nutzer, die die Facebook-Website im Edge-Browser betrachten, müssen also weiterhin damit rechnen, dass ohne ihre Zustimmung Flash-Inhalte ausgeführt werden.
„So viele Seiten, bei denen ich verblüfft bin, warum sie da sind“, kommentierte Fratric. „Wie die Seite eines Friseurs in Spanien. Ich frage mich, wie die Liste entstanden ist. Und ob das Microsoft-Security-Team davon wusste.“
Eigentlich bereiten Browseranbieter und auch Adobe den Abschied des Flash Players vor. Bis Ende 2020 soll die Multimedia-Technik, die inzwischen durch HTML5 abgelöst wurde, vollständig aus allen wichtigen Browsern entfernt worden sein.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.