Der Edge-Webbrowser von Microsoft verwendet eine geheime Flash-Whitelist, mit der Flash-Inhalte ohne Klicken ausgeführt werden können, um den Schutz für enthaltene Websites zu aktivieren.
Microsoft Edge, der Standardbrowser des Microsoft-Betriebssystems Windows 10, unterstützt Adobe Flash nativ. Flash ist so eingestellt, dass es im Browser per Mausklick abgespielt werden kann. Benutzer können Flash in den Einstellungen des Browsers vollständig deaktivieren.
Microsoft veröffentlicht regelmäßig Flash-Updates am monatlichen Patch-Tag des Unternehmens, um in Flash entdeckte Sicherheitsprobleme zu beheben.
Vor kurzem stellte sich heraus, dass Microsoft eine Flash-Whitelist implementiert hat, mit der Flash-Inhalte auf 58 verschiedenen Domänen ohne Benutzerinteraktion ausgeführt werden können. Zu den Sites auf dieser Liste gehörten Deezer, Facebook, das MSN-Portal, Yahoo oder QQ, aber auch Einträge, die man auf einer solchen Liste nicht unbedingt erwarten würde, wie ein spanischer Friseursalon.
Microsoft hat die Liste für das Patch Tuesday-Update dieses Monats auf nur zwei Facebook-Einträge beschränkt und die Verwendung von HTTPS für diese Websites erzwungen, nachdem ein Google-Techniker Ende 2018 einen Fehlerbericht beim Unternehmen eingereicht hatte.
Microsoft verschleierte die Liste und der Google-Ingenieur musste sie mit einem Wörterbuch bekannter und beliebter Domain-Namen knacken.
Laut Fehlerbericht kann Flash-Inhalt geladen werden, wenn er auf einer der auf der Whitelist befindlichen Domänen gehostet wird oder wenn das Flash-Element größer als 398 x 298 Pixel ist.
Angreifer können die Liste ausnutzen, um das Klicken zu umgehen, um Richtlinien vollständig abzuspielen, oder XSS-Schwachstellen auf einigen der enthaltenen Websites ausnutzen. Microsoft Edge respektiert Flash. Klicken Sie hier, um Richtlinien auf allen anderen Websites wiederzugeben. Benutzer müssen die Ausführung von Flash-Inhalten in Microsoft Edge auf Websites ohne Whitelist zulassen.
Es ist unklar, warum Microsoft die Whitelist hinzugefügt hat. Möglicherweise wurde dadurch die Kompatibilität auf ausgewählten Websites verbessert. Während dies auf wichtigen Websites wie Flashbook, auf denen noch Flash-Inhalte gehostet werden, Sinn macht, ist unklar, mit welchen Parametern Microsoft die Liste erstellt hat.
In der Liste sind einige Arcade-Sites aufgeführt, auf denen Flash-Spiele gehostet werden, nicht jedoch gleichermaßen beliebte Arcade-Sites, auf denen auch Flash-Spiele gehostet werden. Es ist verwunderlich, dass einige Websites auf der Liste stehen, andere jedoch nicht. Es ist möglich, dass einige Websites hinzugefügt wurden
Wir haben Microsoft um einen Kommentar gebeten, aber noch keine Antwort erhalten. Wir werden den Artikel aktualisieren, wenn zusätzliche Informationen bekannt werden.
Schlussworte
Es ist verwunderlich, dass Microsoft dem Edge-Browser eine Flash-Whitelist hinzufügt, wenn man bedenkt, dass Microsoft die Sicherheitsfunktionen von Edge stets hervorhebt. Das Zulassen, dass Websites Flash-Inhalte ohne Benutzererlaubnis ausführen, ist aus Sicherheitsgründen selbst auf beliebten Websites äußerst problematisch.
Die Kontrolle zu verlieren und diese Tatsache nicht an die Benutzer weiterzugeben, ist nicht nur unter Sicherheitsaspekten, sondern auch unter dem Gesichtspunkt des Vertrauens äußerst problematisch.
Now You : Wie sehen Sie das?
