• IT-Karriere:
  • Services:

Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Für seinen Edge-Browser pflegt Microsoft eine Whitelist für Flash-Inhalte. Diese enthielt obskure Domains und war anfällig für Fehler. Nach einem Update verbleibt nur noch Facebook auf der Whitelist.

Artikel veröffentlicht am ,
Die Flash-Whitelist in Edge umfasst nur noch Facebook.
Die Flash-Whitelist in Edge umfasst nur noch Facebook. (Bild: Microsoft)

Eigentlich müssen Nutzer des Edge-Browsers von Microsoft das Ausführen von Flash-Inhalten auf Webseiten explizit erlauben, was durch ein sogenanntes Click-to-Play umgesetzt wird. Für einige ausgewählte Seiten hat Edge bisher jedoch eine Whitelist genutzt, die die Flash-Inhalte automatisch erlaubt. Darauf verleiben auch künftig Domains von Facebook.

Stellenmarkt
  1. Advantest Europe GmbH, Böblingen
  2. Max-Delbrück-Centrum für Molekulare Medizin (MDC), Berlin

Das geht aus einem Bugreport von Googles Sicherheitsforschern des Project Zero hervor. Demnach hat der Forscher Ivan Fratric zunächst die Binärform der Whitelist untersucht und in eine Textrepräsentation überführt. Auf der nun öffentlich einsehbaren Liste finden sich teils sehr überraschende und seltsame Domains.

Fratric schreibt dazu auf Twitter: "So viele Seiten, von den ich völlig verblüfft bin, warum sie darauf sind. Wie eine Website eines Friseurs in Spanien (http://www.dgestilistas.es)?! Ich frage mich, wie die Liste zusammengestellt worden ist.". Zusätzlich zu dem durchaus fragwürdigen Inhalt der Liste weist Frantic aber auch auf mögliche Unsicherheiten hin, die sich aus der Nutzung ergeben.

Angreifbare Whitelist

Eine XSS-Lücke auf einer der Domains ermöglicht etwa das völlige Umgehen der Click-to-Play-Regeln. Und Fratric hat auch bekannte XSS-Lücken tatsächlich auf einigen Domains der Whitelist auffinden können. Darüber hinaus erzwingt die Whitelist keine HTTPS-Benutzung, was es auch Man-in-the-Middle-Angriffen (MITM) ermöglichen könnte, die Click-to-Play-Regeln zu umgehen.

Dem Bugreport zufolge hat Microsoft das von Fratric monierte Verhalten der Whitelist in dem Februar-Update von Edge behoben. So wird nun zwingend die Verwendung von HTTPS für die Whitelist vorausgesetzt und auf darauf verblieben sind nur noch die Domains www.facebook.com und apps.facebook.com. Die großen Browser-Hersteller planen das Ende der Flash-Ära für das kommende Jahr 2020.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-75%) 22,50€
  2. (-73%) 15,99€
  3. (-55%) 26,99€

ichbinsmalwieder 17. Mai 2019

Na immerhin hat facebook.com 1,9 Mrd. Nutzer (was übrigens ziemlich genau einem Viertel...

Herr Unterfahren 21. Feb 2019

Noch nicht endgültig. Endgültig für die Tonne wird Edge erst sein, wenn er nur noch ein...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
    •  /