Microsoft Edge: Geheime Whitelist gestattete einigen Seiten weiter Flash
Das notorisch unsichere Flash sollte eigentlich in keinem Browser mehr ohne ausdrückliche Zustimmung des Nutzers laufen. Auch Microsofts Edge agiert eigentlich so. Wie sich nun herausstellte, gab es aber eine geheime Liste, auf der Webseiten verzeichnet waren, die weiterhin nach Gutdünken mit Flash arbeiten konnten.
Das bedeute auch, dass die Skripte, die mit der Adobe-Technologie arbeiteten, an den Sicherheits-Features des Browsers vorbeikamen. Aufgedeckt wurde das Problem laut ZDNet jetzt von Ivan Fratric, der zum Google Project Zero gehört. Die Liste war quasi ein Entgegenkommen an ausgewählte Seitenbetreiber, bei denen Flash trotz der nun schon ewig laufenden Übergangszeit zu besseren Technologien weiterhin eine wichtige Rolle spielte und die meist eine gewisse Relevanz hatten.
Auf der Liste fanden sich so neben den Microsoft-eigenen Angeboten inklusive MSN auch der Musik-Streamingdienst Deezer und das chinesische Social Network QQ wieder. Und natürlich Facebook, auf dessen Plattform noch immer diverse Flash-Games laufen. Es gab aber auch einige kleinere Angebote wie etwa die Seite eines spanischen Friseur-Salons.
Fratric wies allerdings darauf hin, dass man es hier mit einer trügerischen Vertrauens-Situation zu tun hat. Denn wenn auf der fraglichen Webseite beispielsweise noch eine Sicherheitslücke XSS-Angriffe ermöglicht, können Angreifer hier schnell einmal Schadcodes unterbringen und die Nutzer so attackieren, ohne dass diese eine Chance auf eine effektive Verteidigung haben. Auf einigen Seiten, die auf der Liste zu finden waren, sind solche Schwachstellen schon seit einiger Zeit bekannt und wurden auch noch nicht behoben.
Microsoft hat inzwischen reagiert. Bis auf zwei Ausnahmen sind inzwischen alle Domains von der Whitelist entfernt worden. Bestand hat die Sonderregelung aber für www.facebook.com und apps.facebook.com, wobei hier aber eine https-Verbindung zwingend erforderlich ist und auch nur Flash-Inhalte direkt ausgeführt werden, die mehr als 398 x 298 Pixel einnehmen und somit wahrscheinlich klassische Browser-Games sind.
So deaktivieren Sie das Flash-Plugin in Ihrem Browser
Auf der Liste fanden sich so neben den Microsoft-eigenen Angeboten inklusive MSN auch der Musik-Streamingdienst Deezer und das chinesische Social Network QQ wieder. Und natürlich Facebook, auf dessen Plattform noch immer diverse Flash-Games laufen. Es gab aber auch einige kleinere Angebote wie etwa die Seite eines spanischen Friseur-Salons.
Facebook darf weiter Flash nutzen
Grundsätzlich ist die Idee einer solchen Whitelist nachvollziehbar. Bei den zuständigen Stellen bei Microsoft ging man wohl davon aus, dass man hier Anbieter aufnimmt, die eine gewisse Kontrolle darüber haben, welche Inhalte auf ihren Seiten zu finden sind und die man für halbwegs vertrauenswürdig hält. Entsprechend wäre das Risiko für die Nutzer trotz der Sicherheitsprobleme der Flash-Plugins überschaubar.Fratric wies allerdings darauf hin, dass man es hier mit einer trügerischen Vertrauens-Situation zu tun hat. Denn wenn auf der fraglichen Webseite beispielsweise noch eine Sicherheitslücke XSS-Angriffe ermöglicht, können Angreifer hier schnell einmal Schadcodes unterbringen und die Nutzer so attackieren, ohne dass diese eine Chance auf eine effektive Verteidigung haben. Auf einigen Seiten, die auf der Liste zu finden waren, sind solche Schwachstellen schon seit einiger Zeit bekannt und wurden auch noch nicht behoben.
Microsoft hat inzwischen reagiert. Bis auf zwei Ausnahmen sind inzwischen alle Domains von der Whitelist entfernt worden. Bestand hat die Sonderregelung aber für www.facebook.com und apps.facebook.com, wobei hier aber eine https-Verbindung zwingend erforderlich ist und auch nur Flash-Inhalte direkt ausgeführt werden, die mehr als 398 x 298 Pixel einnehmen und somit wahrscheinlich klassische Browser-Games sind.
So deaktivieren Sie das Flash-Plugin in Ihrem Browser
Thema:
Neue Downloads zum Thema
Videos zum Thema
Beiträge aus dem Forum
Interessante Links & Themenseiten
Beliebte Windows 8 FAQ Einträge
Neue Nachrichten
- FritzOS 8.24: Neues Labor-Update startet für zwei FritzRepeater
- Großer Juni-Sale: Neue Weekend-Deals jetzt bei Media Markt & Saturn
- Unreal Engine 6: Epic enthüllt das Release-Jahr und neue Features
- Epic Games Store 2.0: Launcher bekommt riesiges 'Rettungs'-Update
- Gutachten: Reiches neues Heizungsgesetz ist verfassungswidrig
- Geld-Glitch in Forza Horizon 6: Studio bestrafte Exploit-Nutzer
- Dann geh doch zu DuckDuckGo! Googles eigene KI empfiehlt Konkurrenz
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen