Abo
  • Services:

Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Für seinen Edge-Browser pflegt Microsoft eine Whitelist für Flash-Inhalte. Diese enthielt obskure Domains und war anfällig für Fehler. Nach einem Update verbleibt nur noch Facebook auf der Whitelist.

Artikel veröffentlicht am ,
Die Flash-Whitelist in Edge umfasst nur noch Facebook.
Die Flash-Whitelist in Edge umfasst nur noch Facebook. (Bild: Microsoft)

Eigentlich müssen Nutzer des Edge-Browsers von Microsoft das Ausführen von Flash-Inhalten auf Webseiten explizit erlauben, was durch ein sogenanntes Click-to-Play umgesetzt wird. Für einige ausgewählte Seiten hat Edge bisher jedoch eine Whitelist genutzt, die die Flash-Inhalte automatisch erlaubt. Darauf verleiben auch künftig Domains von Facebook.

Stellenmarkt
  1. MBDA Deutschland, Schrobenhausen
  2. Alfred Kärcher SE & Co. KG, Winnenden

Das geht aus einem Bugreport von Googles Sicherheitsforschern des Project Zero hervor. Demnach hat der Forscher Ivan Fratric zunächst die Binärform der Whitelist untersucht und in eine Textrepräsentation überführt. Auf der nun öffentlich einsehbaren Liste finden sich teils sehr überraschende und seltsame Domains.

Fratric schreibt dazu auf Twitter: "So viele Seiten, von den ich völlig verblüfft bin, warum sie darauf sind. Wie eine Website eines Friseurs in Spanien (http://www.dgestilistas.es)?! Ich frage mich, wie die Liste zusammengestellt worden ist.". Zusätzlich zu dem durchaus fragwürdigen Inhalt der Liste weist Frantic aber auch auf mögliche Unsicherheiten hin, die sich aus der Nutzung ergeben.

Angreifbare Whitelist

Eine XSS-Lücke auf einer der Domains ermöglicht etwa das völlige Umgehen der Click-to-Play-Regeln. Und Fratric hat auch bekannte XSS-Lücken tatsächlich auf einigen Domains der Whitelist auffinden können. Darüber hinaus erzwingt die Whitelist keine HTTPS-Benutzung, was es auch Man-in-the-Middle-Angriffen (MITM) ermöglichen könnte, die Click-to-Play-Regeln zu umgehen.

Dem Bugreport zufolge hat Microsoft das von Fratric monierte Verhalten der Whitelist in dem Februar-Update von Edge behoben. So wird nun zwingend die Verwendung von HTTPS für die Whitelist vorausgesetzt und auf darauf verblieben sind nur noch die Domains www.facebook.com und apps.facebook.com. Die großen Browser-Hersteller planen das Ende der Flash-Ära für das kommende Jahr 2020.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 119,90€
  3. 18,99€
  4. (u. a. Fractal Design Meshfy Light Tint 69,90€)

holysmoke 21. Feb 2019 / Themenstart

Vielleicht hat FB darum verhandelt.

Herr Unterfahren 21. Feb 2019 / Themenstart

Noch nicht endgültig. Endgültig für die Tonne wird Edge erst sein, wenn er nur noch ein...

Kommentieren


Folgen Sie uns
       


Honor View 20 - Test

Das View 20 von Honor ist ein interessantes Smartphone: Für unter 600 Euro bekommen Käufer hochwertige Hardware im Oberklassebereich und eine der besten Kameras am Markt.

Honor View 20 - Test Video aufrufen
Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

XPS 13 (9380) im Test: Dell macht's ohne Frosch und Spiegel
XPS 13 (9380) im Test
Dell macht's ohne Frosch und Spiegel

Und wir dachten, die Kamera wandert nach oben und das war es - aber nein: Dell hat uns überrascht und das XPS 13 (9380) dort verbessert, wo wir es nicht erwartet hätten, wohl aber erhofft haben.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Mit Ubuntu Dell XPS 13 mit Whiskey Lake als Developer Edition verfügbar
  2. XPS 13 (9380) Dell verabschiedet sich von Froschkamera

    •  /