Microsoft antwortet: Flash-Whitelist im Internet Explorer 10 ist keine Sicherheitslücke

Letzte Woche machte eine Meldung die Runde, wonach die Flash-Whitelist im Internet Explorer 10 von Windows 8 bzw. Windows RT leicht manipulierbar sei, weil es sich dabei um eine in Klartext gehaltene XML-Datei handelt, die im Verzeichnis des angemeldeten Benutzers liegt, genauer gesagt unter C:\Users\[USER_NAME]\AppData\Local\Microsoft\Internet Explorer\IECompatData\ mit dem Dateinamen iecompatdata.xml.
Ich hatte darüber ja berichtet und gleichzeitig auch angekündigt, bei Microsoft nachzufragen, was es damit denn nun eigentlich auf sich hat und ob das nicht doch in gewisser Weise eine Sicherheitslücke ist. Da ich derzeit täglich mit Microsoft-Leuten zusammen bin, konnte ich gleich zwei Experten darauf ansprechen und habe folgende Auskünfte erhalten:
Bei besagter XML Datei handelt es sich um die bereits seit längerer Zeit existierende Kompatibilitätsliste des Internet Explorer, mit der sichergestellt werden soll, dass nicht optimal angepasste Seiten trotzdem einwandfrei dargestellt werden. Für den IE 10 wurde diese um eine zusätzliche Sektion erweitert, in der nun die Seiten stehen, denen die Ausführung von Flash erlaubt wird. Es handelt sich nach Aussage der Microsoft-Leute hier nicht primär um ein Sicherheits-, sondern in erster Linie um ein Usability-Feature.
Damit eine auf Flash basierende Webseite in diese Liste aufgenommen wird, muss sich deren Betreiber mit Microsoft in Verbindung setzen. Dort wird dann zwar auch geprüft, ob die Seite sicher und vertrauenswürdig ist – in erster Linie aber achtet der Prüfer darauf, ob sich die Webseite auch mit der für die Touch-Bedienung optimierten Version des IE10 problemlos nutzen lässt. Dann – und nur dann – erfolgt die Freigabe und der Eintrag in die Kompatibilitätsliste.
Man kann diese Datei nun natürlich editieren und um eigene Einträge erweitern, das funktioniert auch. Das Problem dabei: Die Liste wird regelmäßig aktualisiert und überschrieben, das geschieht im Hintergrund und völlig automatisch. Eigene Anpassungen gehen dabei natürlich verloren. Es ist möglich, diesen Updatemechanismus zu unterbinden, aber gerade in der aktuellen Phase ist das keine gute Idee, denn es kommen ja ständig neue Seiten hinzu.
Soweit also die offizielle Erklärung.
Gibt es nun doch ein Sicherheitsrisiko?
Rein theoretisch lautet die Antwort “Ja”.
Ein böser Mensch könnte den Anwender dazu verleiten, ein Programm zu starten, das der Kompatibilitätsliste automatisiert einen Eintrag hinzufügt, welcher wiederum Flash für eine oder mehrere bösartige Webseiten freischaltet. Anschließend müsste er ihn noch dazu bringen, die entsprechend verseuchte Webseite zu besuchen, dort eine Aktion auszuführen und darauf zu vertrauen, dass auch sonst kein anwenderseitig vorhandener Schutzmechanismus anspringt.
Praktische Wahrscheinlichkeit, dass das tatsächlich passiert? Urteilt selbst.
Wer für derartige Angriffe empfänglich ist, dürfte ohnehin Kummer gewohnt sein…