Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Für seinen Edge-Browser pflegt Microsoft eine Whitelist für Flash-Inhalte. Diese enthielt obskure Domains und war anfällig für Fehler. Nach einem Update verbleibt nur noch Facebook auf der Whitelist.

Artikel veröffentlicht am ,
Die Flash-Whitelist in Edge umfasst nur noch Facebook.
Die Flash-Whitelist in Edge umfasst nur noch Facebook. (Bild: Microsoft)

Eigentlich müssen Nutzer des Edge-Browsers von Microsoft das Ausführen von Flash-Inhalten auf Webseiten explizit erlauben, was durch ein sogenanntes Click-to-Play umgesetzt wird. Für einige ausgewählte Seiten hat Edge bisher jedoch eine Whitelist genutzt, die die Flash-Inhalte automatisch erlaubt. Darauf verleiben auch künftig Domains von Facebook.

Stellenmarkt
  1. Category Development Manager / Space Planning (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
  2. IT-Administrator/IT-Systemen- gineer (m/w/d)
    Step Computer- und Datentechnik GmbH, Lörrach
Detailsuche

Das geht aus einem Bugreport von Googles Sicherheitsforschern des Project Zero hervor. Demnach hat der Forscher Ivan Fratric zunächst die Binärform der Whitelist untersucht und in eine Textrepräsentation überführt. Auf der nun öffentlich einsehbaren Liste finden sich teils sehr überraschende und seltsame Domains.

Fratric schreibt dazu auf Twitter: "So viele Seiten, von den ich völlig verblüfft bin, warum sie darauf sind. Wie eine Website eines Friseurs in Spanien (http://www.dgestilistas.es)?! Ich frage mich, wie die Liste zusammengestellt worden ist.". Zusätzlich zu dem durchaus fragwürdigen Inhalt der Liste weist Frantic aber auch auf mögliche Unsicherheiten hin, die sich aus der Nutzung ergeben.

Angreifbare Whitelist

Eine XSS-Lücke auf einer der Domains ermöglicht etwa das völlige Umgehen der Click-to-Play-Regeln. Und Fratric hat auch bekannte XSS-Lücken tatsächlich auf einigen Domains der Whitelist auffinden können. Darüber hinaus erzwingt die Whitelist keine HTTPS-Benutzung, was es auch Man-in-the-Middle-Angriffen (MITM) ermöglichen könnte, die Click-to-Play-Regeln zu umgehen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Dem Bugreport zufolge hat Microsoft das von Fratric monierte Verhalten der Whitelist in dem Februar-Update von Edge behoben. So wird nun zwingend die Verwendung von HTTPS für die Whitelist vorausgesetzt und auf darauf verblieben sind nur noch die Domains www.facebook.com und apps.facebook.com. Die großen Browser-Hersteller planen das Ende der Flash-Ära für das kommende Jahr 2020.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Square Enix: Action-Adventure mit den Guardians of the Galaxy angekündigt
    Square Enix
    Action-Adventure mit den Guardians of the Galaxy angekündigt

    E3 2021 Erinnert an Mass Effect, aber mit Humor und Groot: Square Enix will noch 2021 das Solo-Abenteuer Guardians of the Galaxy veröffentlichen.

  3. Bethesda: Starfield mit Rätseln und Doom Eternal mit 120 fps
    Bethesda
    Starfield mit Rätseln und Doom Eternal mit 120 fps

    E3 2021 Der Teaser von Starfield lädt zum Knoblen ein, Redfall bietet Blutsauger - und Doom Eternal erhält das Next-Gen-Grafikupdate.

ichbinsmalwieder 17. Mai 2019

Na immerhin hat facebook.com 1,9 Mrd. Nutzer (was übrigens ziemlich genau einem Viertel...

Herr Unterfahren 21. Feb 2019

Noch nicht endgültig. Endgültig für die Tonne wird Edge erst sein, wenn er nur noch ein...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /