Microsoft Edge führt geheime Whitelist für Adobe-Flash-Code

Der Microsoft-Browser Edge nutzt eine nicht öffentliche Whitelist, die es dort gelisteten Websites erlaubt, Inhalte für Adobes Flash Player wiederzugeben. Diese Websites sind zudem in der Lage, die Sicherheitsfunktion Click-to-Run zu umgehen, die normalerweise verhindert, dass Flash-Code ohne Wissen und Zustimmung des Nutzers ausgeführt wird.

Bis vor Kurzem enthielt die Whitelist von 58 Einträge, darunter Domains und Subdomains für Microsofts eigene Website, das MSN-Protal, Streaming-Dienste wie Deezer und TVNow, Yahoo und das chinesische Social Network QQ. Ausnahmen gab es aber auch für Online-Spiele von diversen Anbietern wie Goodgames, Turk Telekom, den österreichischen Mobilfunkanbieter A1 und einen spanischen Friseursalon.

Im November 2018 entdeckte der Google-Sicherheitsforscher Ivan Fratric die unter Windows 10 Version 1803 im Verzeichnis „C:\Windows\System32“ abgelegte Liste. Bei einer genaueren Analyse fand er zudem mehrere Schwachstellen, die er auch an Microsoft meldete. So kritisierte er, dass eine Cross-Site-Scripting-Lücke in einer der gelisteten Domains es jeder Website erlauben würde, die Click-to-Play-Richtlinie von Edge zu umgehen – vier der fraglichen Websites enthielten zudem öffentlich bekannte und nicht gepatchte XSS-Lücken.

Darüber hinaus stellte der Forscher fest, dass sich die Whitelist nicht auf Websites beschränkt, die HTTPS unterstützen. In dem Fall könne ein Hacker mithilfe eines Man-in-the-Middle-Angriffs die Click-to-Play-Richtlinie aushebeln.

Ein Patch von Microsoft steht nun seit 18. Februar zur Verfügung. Es stellt sicher, dass Flash-Inhalte nur über HTTPS-Verbindungen geladen werden. Außerdem reduziert es die Whitelist auf zwei Einträge, die beide zu Facebook gehören. Flash-Inhalte müssen zudem eine Größe von mindestens 398 mal 298 Pixel haben. Nutzer, die die Facebook-Website im Edge-Browser betrachten, müssen also weiterhin damit rechnen, dass ohne ihre Zustimmung Flash-Inhalte ausgeführt werden.

„So viele Seiten, bei denen ich verblüfft bin, warum sie da sind“, kommentierte Fratric. „Wie die Seite eines Friseurs in Spanien. Ich frage mich, wie die Liste entstanden ist. Und ob das Microsoft-Security-Team davon wusste.“

Eigentlich bereiten Browseranbieter und auch Adobe den Abschied des Flash Players vor. Bis Ende 2020 soll die Multimedia-Technik, die inzwischen durch HTML5 abgelöst wurde, vollständig aus allen wichtigen Browsern entfernt worden sein.