• IT-Karriere:
  • Services:

Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Für seinen Edge-Browser pflegt Microsoft eine Whitelist für Flash-Inhalte. Diese enthielt obskure Domains und war anfällig für Fehler. Nach einem Update verbleibt nur noch Facebook auf der Whitelist.

Artikel veröffentlicht am ,
Die Flash-Whitelist in Edge umfasst nur noch Facebook.
Die Flash-Whitelist in Edge umfasst nur noch Facebook. (Bild: Microsoft)

Eigentlich müssen Nutzer des Edge-Browsers von Microsoft das Ausführen von Flash-Inhalten auf Webseiten explizit erlauben, was durch ein sogenanntes Click-to-Play umgesetzt wird. Für einige ausgewählte Seiten hat Edge bisher jedoch eine Whitelist genutzt, die die Flash-Inhalte automatisch erlaubt. Darauf verleiben auch künftig Domains von Facebook.

Stellenmarkt
  1. Atlas Copco IAS GmbH, Bretten
  2. KION Group AG, Frankfurt am Main

Das geht aus einem Bugreport von Googles Sicherheitsforschern des Project Zero hervor. Demnach hat der Forscher Ivan Fratric zunächst die Binärform der Whitelist untersucht und in eine Textrepräsentation überführt. Auf der nun öffentlich einsehbaren Liste finden sich teils sehr überraschende und seltsame Domains.

Fratric schreibt dazu auf Twitter: "So viele Seiten, von den ich völlig verblüfft bin, warum sie darauf sind. Wie eine Website eines Friseurs in Spanien (http://www.dgestilistas.es)?! Ich frage mich, wie die Liste zusammengestellt worden ist.". Zusätzlich zu dem durchaus fragwürdigen Inhalt der Liste weist Frantic aber auch auf mögliche Unsicherheiten hin, die sich aus der Nutzung ergeben.

Angreifbare Whitelist

Eine XSS-Lücke auf einer der Domains ermöglicht etwa das völlige Umgehen der Click-to-Play-Regeln. Und Fratric hat auch bekannte XSS-Lücken tatsächlich auf einigen Domains der Whitelist auffinden können. Darüber hinaus erzwingt die Whitelist keine HTTPS-Benutzung, was es auch Man-in-the-Middle-Angriffen (MITM) ermöglichen könnte, die Click-to-Play-Regeln zu umgehen.

Dem Bugreport zufolge hat Microsoft das von Fratric monierte Verhalten der Whitelist in dem Februar-Update von Edge behoben. So wird nun zwingend die Verwendung von HTTPS für die Whitelist vorausgesetzt und auf darauf verblieben sind nur noch die Domains www.facebook.com und apps.facebook.com. Die großen Browser-Hersteller planen das Ende der Flash-Ära für das kommende Jahr 2020.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

ichbinsmalwieder 17. Mai 2019

Na immerhin hat facebook.com 1,9 Mrd. Nutzer (was übrigens ziemlich genau einem Viertel...

Herr Unterfahren 21. Feb 2019

Noch nicht endgültig. Endgültig für die Tonne wird Edge erst sein, wenn er nur noch ein...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /