Microsoft Edge: Geheime Whitelist gestattete einigen Seiten weiter Flash

Flash, DC Comics, Comic Bildquelle: DC Comics
Das notorisch unsichere Flash sollte eigentlich in keinem Browser mehr ohne ausdrückliche Zustimmung des Nutzers laufen. Auch Microsofts Edge agiert eigentlich so. Wie sich nun herausstellte, gab es aber eine geheime Liste, auf der Webseiten verzeichnet waren, die weiterhin nach Gutdünken mit Flash arbeiten konnten. Das bedeute auch, dass die Skripte, die mit der Adobe-Technologie arbeiteten, an den Sicherheits-Features des Browsers vorbeikamen. Aufgedeckt wurde das Problem laut ZDNet jetzt von Ivan Fratric, der zum Google Project Zero gehört. Die Liste war quasi ein Entgegenkommen an ausgewählte Seitenbetreiber, bei denen Flash trotz der nun schon ewig laufenden Übergangszeit zu besseren Technologien weiterhin eine wichtige Rolle spielte und die meist eine gewisse Relevanz hatten.

Auf der Liste fanden sich so neben den Microsoft-eigenen Angeboten inklusive MSN auch der Musik-Streamingdienst Deezer und das chinesische Social Network QQ wieder. Und natürlich Facebook, auf dessen Plattform noch immer diverse Flash-Games laufen. Es gab aber auch einige kleinere Angebote wie etwa die Seite eines spanischen Friseur-Salons.


Facebook darf weiter Flash nutzen

Grundsätzlich ist die Idee einer solchen Whitelist nachvollziehbar. Bei den zuständigen Stellen bei Microsoft ging man wohl davon aus, dass man hier Anbieter aufnimmt, die eine gewisse Kontrolle darüber haben, welche Inhalte auf ihren Seiten zu finden sind und die man für halbwegs vertrauenswürdig hält. Entsprechend wäre das Risiko für die Nutzer trotz der Sicherheitsprobleme der Flash-Plugins überschaubar.

Fratric wies allerdings darauf hin, dass man es hier mit einer trügerischen Vertrauens-Situation zu tun hat. Denn wenn auf der fraglichen Webseite beispielsweise noch eine Sicherheitslücke XSS-Angriffe ermöglicht, können Angreifer hier schnell einmal Schadcodes unterbringen und die Nutzer so attackieren, ohne dass diese eine Chance auf eine effektive Verteidigung haben. Auf einigen Seiten, die auf der Liste zu finden waren, sind solche Schwachstellen schon seit einiger Zeit bekannt und wurden auch noch nicht behoben.

Microsoft hat inzwischen reagiert. Bis auf zwei Ausnahmen sind inzwischen alle Domains von der Whitelist entfernt worden. Bestand hat die Sonderregelung aber für www.facebook.com und apps.facebook.com, wobei hier aber eine https-Verbindung zwingend erforderlich ist und auch nur Flash-Inhalte direkt ausgeführt werden, die mehr als 398 x 298 Pixel einnehmen und somit wahrscheinlich klassische Browser-Games sind.

So deaktivieren Sie das Flash-Plugin in Ihrem Browser Flash, DC Comics, Comic Flash, DC Comics, Comic DC Comics
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:13 Uhr Mini PC Intel Quad Core CPU 4 GB DDR, 64 GB eMMC Desktop Computer Windows 10 Pro HDMI- und VGA-Anschluss Dual WiFi BT4.1 USB 3.0 Halterung für das automatische EinschaltenMini PC Intel Quad Core CPU 4 GB DDR, 64 GB eMMC Desktop Computer Windows 10 Pro HDMI- und VGA-Anschluss Dual WiFi BT4.1 USB 3.0 Halterung für das automatische Einschalten
Original Amazon-Preis
139,99
Im Preisvergleich ab
139,99
Blitzangebot-Preis
111,98
Ersparnis zu Amazon 20% oder 28,01

Tipp einsenden