Microsoft hat ein Sicherheitsupdate für seinen Edge-Browser veröffentlicht. Es behebt Schwachstellen, vor denen bereits das BürgerCERT vom Bundesamt für Sicherheit in der Informationstechnik warnt - dort hat man die Risikostufe 4 ausgerufen.
Risikostufe 4 bedeutet dabei, dass das Schadenspotenzial hoch ist - es gibt beim BSI insgesamt nur 5 Stufen, in der Fünften wäre das Risiko "sehr hoch". Die Einstufung als hoch erfolgt übrigens nur, wenn die bekannt gewordenen Sicherheitslücken bereits aktiv ausgenutzt werden, oder / und ein Exploit veröffentlicht wurde.
Google hatte ebenfalls vor kurzem ein Sicherheitsupdate für das Projekt Chromium und für den Chrome-Browser herausgegeben. Auf dessen Basis erfolgt jetzt das Edge-Update. Details sind allerdings derzeit noch nicht viele bekannt - nur soviel: Für Edge wurden neben den Sicherheitsupdates für Chromium noch drei Edge-spezifische Sicherheitslücken geschlossen.
Updates im WinFuture-Downloadcenter verfügbar
Wer den neuen Microsoft Edge nutzt, bekommt die Aktualisierung einfach als Auto-Update. Das gilt für Google Chrome ebenso. Die neueste Edge-Version hat die Nummer 102.0.1245.30 und steht auch bereits bei uns im WinFuture-Downloadcenter bereit und kann am Ende dieses Beitrags heruntergeladen werden.
Microsoft Edge auf Chromium-Basis
Laut Bundesamt für Sicherheit in der Informationstechnik sollten die Updates dringend installiert werden: "Microsoft hat mehrere Schwachstellen im Browser Edge behoben. Ein Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, um Schadcode auszuführen, Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren oder Informationen offenzulegen. Zur Ausnutzung genügt es, eine bösartig gestaltete Webseite zu laden, was beispielsweise bereits durch das Anklicken eines Links erfolgen kann."
Das BSI hat die Sicherheitslücke auf die Risikostufe 4 eingestuft. Inwieweit die Schwachstellen bereits von Hackern aktiv ausgenutzt werden, ist offiziell nicht bekannt.
Auch über die einzelnen Änderungen für Edge ist noch wenig bekannt - das liegt daran, dass Microsoft außer den Benachrichtigungen für die einzelnen sicherheitsrelevanten Änderungen keine ausführlichen Veröffentlichungs-Notizen mit beifügt. In dem Leitfaden für Sicherheitsupdates findet man die Liste der CVE-Einträge zu allen behobenen Sicherheitslücken.
Bei Microsoft kann man diese Übersicht einsehen und die CVE-Artikel in der Edge-Update-Historie nachverfolgen. Bei Microsoft heißt es zum Update: "Microsoft hat den neuesten Microsoft Edge Stable Channel (Version 102.0.1245.30) veröffentlicht, in den die neuesten Sicherheitsupdates des Chromium-Projekts integriert sind. Weitere Informationen finden Sie in der Anleitung zur Sicherheitsaktualisierung. Dieses Update enthält die folgenden Microsoft Edge-spezifischen Updates: CVE-2022-30128, CVE-2022-30127 und CVE-2022-26905."
Details folgen
In dem zitierten Sicherheits-Leitfaden werden die detaillierten Informationen zu den unter den CVE-Nummern geführten Schwachstellen nach und nach veröffentlicht. Das folgt regulär erst einige Zeit nach dem Release und das ganz besonders, wenn es kritische Updates sind. Im Chromium-Blog von Google gibt es derzeit ebenfalls nur eine Liste der behobenen Schwachstellen ohne weiterführende Informationen. Google meldet insgesamt 32 Sicherheitslücken, die von externen Sicherheitsforschern gemeldet wurden. Eine Schwachstelle wurde als kritisch eingestuft, alle anderen entsprechend niedriger bewertet. Das Edge-Update bringt in der neuesten Version alle entsprechenden Änderungen mit.
Anmelden
Microsoft hat ein Sicherheitsupdate für seinen Edge-Browser veröffentlicht. Es behebt Schwachstellen, vor denen bereits das BürgerCERT vom Bundesamt für Sicherheit in der Informationstechnik warnt - dort hat man die Risikostufe 4 ausgerufen.
Risikostufe 4 bedeutet dabei, dass das Schadenspotenzial hoch ist - es gibt beim BSI insgesamt nur 5 Stufen, in der Fünften wäre das Risiko "sehr hoch". Die Einstufung als hoch erfolgt übrigens nur, wenn die bekannt gewordenen Sicherheitslücken bereits aktiv ausgenutzt werden, oder / und ein Exploit veröffentlicht wurde.
