Der Microsoft-Browser Edge nutzt eine nicht öffentliche Whitelist, die es dort gelisteten Websites erlaubt, Inhalte für Adobes Flash Player wiederzugeben. Diese Websites sind zudem in der Lage, die Sicherheitsfunktion Click-to-Run zu umgehen, die normalerweise verhindert, dass Flash-Code ohne Wissen und Zustimmung des Nutzers ausgeführt wird.
Im November 2018 entdeckte der Google-Sicherheitsforscher Ivan Fratric die unter Windows 10 Version 1803 im Verzeichnis „C:\Windows\System32“ abgelegte Liste. Bei einer genaueren Analyse fand er zudem mehrere Schwachstellen, die er auch an Microsoft meldete. So kritisierte er, dass eine Cross-Site-Scripting-Lücke in einer der gelisteten Domains es jeder Website erlauben würde, die Click-to-Play-Richtlinie von Edge zu umgehen – vier der fraglichen Websites enthielten zudem öffentlich bekannte und nicht gepatchte XSS-Lücken.
Darüber hinaus stellte der Forscher fest, dass sich die Whitelist nicht auf Websites beschränkt, die HTTPS unterstützen. In dem Fall könne ein Hacker mithilfe eines Man-in-the-Middle-Angriffs die Click-to-Play-Richtlinie aushebeln.
Ein Patch von Microsoft steht nun seit 18. Februar zur Verfügung. Es stellt sicher, dass Flash-Inhalte nur über HTTPS-Verbindungen geladen werden. Außerdem reduziert es die Whitelist auf zwei Einträge, die beide zu Facebook gehören. Flash-Inhalte müssen zudem eine Größe von mindestens 398 mal 298 Pixel haben. Nutzer, die die Facebook-Website im Edge-Browser betrachten, müssen also weiterhin damit rechnen, dass ohne ihre Zustimmung Flash-Inhalte ausgeführt werden.
„So viele Seiten, bei denen ich verblüfft bin, warum sie da sind“, kommentierte Fratric. „Wie die Seite eines Friseurs in Spanien. Ich frage mich, wie die Liste entstanden ist. Und ob das Microsoft-Security-Team davon wusste.“
Eigentlich bereiten Browseranbieter und auch Adobe den Abschied des Flash Players vor. Bis Ende 2020 soll die Multimedia-Technik, die inzwischen durch HTML5 abgelöst wurde, vollständig aus allen wichtigen Browsern entfernt worden sein.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…