Edge: Sicherheitslücken in Microsofts Chromium-Browser entdeckt

Cookie-Manipulation, Rechteerhöhung und Remote Code-Ausführung werden durch Fehler ermöglicht, die bis vor kurzem noch im neuen Chromium-basierten Edge-Webbrowser enthalten waren. Ein Sicherheits­forscher hatte die Bugs gemeldet und 40.000 Dollar kassiert.
Logo, Browser, Edge, Microsoft Edge, icon, Neues Logo, Neues Icon
Microsoft Edge
Es ist laut Medienberichten das erste Mal, dass Microsoft in dem im Spätsommer 2019 aufgelegten Bug-Bounty-Programm für den neuentwickelten Edge einen bestätigten Fehler entlohnt (via Günter Born). Der Sicherheitsforscher Abdulrhman Alqabandi entdeckte demnach gleich drei verschiedene Fehler in dem neuen Browser, was ihm nun insgesamt 40.000 Dollar einbringt. Microsoft entlohnt natürlich nur Bugs, die in Teilen enthalten sind, die der Konzern erstellt hat und nicht in der Chromium-Basis selbst.


Ein von Alqabandi entwickelter Proof-of-Concept (PoC) zeigt unter anderem die Ausnutzung einer Cross-Site-Scripting (XSS)-Schwachstelle in Microsoft Edge. Durch diese kann ein Unbefugter eine Rechteerhöhung unter Umständen zustande bringen (Privilege Escalation Attack).

Weitere Fehler entdeckt

Alqabandi vermutet zudem, dass ein weiterer Fehler die Erstellung eines RCE-Exploits (Re­mote Code Execution, Aus­führung von be­lieb­igem Code auf dem Rechner des An­ge­grif­fenen) er­mög­lichen könnte. In seinen Ver­suchen kam es immer zum Browser­absturz. Einer der XSS-Fehler be­trifft dabei eine neue Funk­tion in einer Kom­ponente der Tab-Verwalt­ung (NTP). Dieser Fehler führt dazu, dass poten­tiell gefähr­liches JavaScript ausge­führt wurde. Der Fehler er­mög­lichte es, JavaScript aus normalen Web­inhalten in einem höher privi­le­gierten Kontext einzu­fügen und so eine Sicher­heits­hürde zu über­springen.

Der letzte der drei von Alqabandi gefundenen Fehler betraf eine mögliche Cookie-Manipulation. Alle Bugs erläutert der Sicherheitsforscher in seinem Blog.

Microsoft Edge Chromium Release CandidateMicrosoft Edge Chromium Release CandidateMicrosoft Edge Chromium Release CandidateMicrosoft Edge Chromium Release Candidate

Mehr zum neuen Edge:


Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr Oukitel RT5 Outdoor TabletOukitel RT5 Outdoor Tablet
Original Amazon-Preis
249,99
Im Preisvergleich ab
249,99
Blitzangebot-Preis
212,49
Ersparnis zu Amazon 15% oder 37,50
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!