Kritisches Edge-Sicherheitsupdate startet, BSI warnt vor Schwachstelle

Microsoft hat ein Sicherheitsupdate für den Edge-Browser veröffentlicht, das als "Early Security Release" gekennzeichnet wurde. Es behebt eine Reihe von Schwachstellen, vor denen nun bereits das BürgerCERT vom Bundesamt für Sicherheit in der Informationstechnik warnt. Google hatte die Schwachstellen ebenfalls vor kurzem mit einem Chromium-Update adressiert. Details sind allerdings derzeit noch nicht bekannt - nur soviel: Für Edge wurden neben den Sicherheitsupdates für Chromium noch fünf Edge-spezifische Sicherheitslücken geschlossen und es gibt eine kritische Sicherheitslücke in beiden Browsern. Wer den neuen Microsoft Edge nutzt, bekommt die Aktualisierung einfach als Auto-Update. Das gilt für Google Chrome ebenso. Die neueste Edge-Version hat die Nummer 97.0.1072.55 und steht auch bereits bei uns im Win­Fu­ture-Down­load­cen­ter bereit und kann am Ende dieses Beitrags heruntergeladen werden.


Laut Bundesamt für Sicherheit in der Informationstechnik sollten die Updates dringend installiert werden: "Microsoft hat mehrere Schwachstellen im Browser Edge behoben. Diese ermöglichen es einem Angreifer, vertrauliche Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen, einen Programmabsturz herbeizuführen, falsche Informationen zu präsentieren und Schadcode auszuführen. Zur Ausführung genügt es, eine bösartig gestaltete Webseite aufzurufen bzw. einen entsprechenden Link anzuklicken." Das BSI hat die Sicherheitslücke auf die Risikostufe 3 eingestuft. Ob es bekannte Ausnutzungen der Schwachstellen gibt, ist nicht bekannt.

Auch über die einzelnen Änderungen für Edge ist derzeit noch wenig bekannt - das liegt daran, dass Microsoft außer den Benachrichtigungen für die einzelnen sicherheitsrelevanten Änderungen keine ausführlichen Veröffentlichungs-Notizen mit beifügt. In dem Leitfaden für Sicherheitsupdates findet man aktuell noch nicht einmal alle CVE-Einträge zu den behobenen Sicherheitslücken.

Bei Google kann man eine Übersicht einsehen und die CVE-Artikel in der Edge-Update-Historie nachverfolgen. Bei Microsoft heißt es zum Update bislang nur: "Microsoft hat den neuesten Microsoft Edge Stable Channel (Version 97.0.1072.55) veröffentlicht, in den die neuesten Sicherheitsupdates des Chromium-Projekts integriert sind. Weitere Informationen finden Sie in der Anleitung zur Sicherheitsaktualisierung. Dieses Update enthält die folgenden Microsoft Edge-spezifischen Updates: CVE-2022-21954, CVE-2022-21929, CVE-2022-21930, CVE-2022-21931, CVE-2022-21970."

Details folgen

In dem zitierten Sicherheits-Leitfaden werden die Informationen zu den unter den CVE-Nummern geführten Schwachstellen nach und nach veröffentlicht. Das folgt regulär erst einige Zeit nach dem Release. Im Chromium-Blog von Google gibt es derzeit ebenfalls nur eine Liste der behobenen Schwachstellen ohne weiterführende Informationen. Google meldet insgesamt 37 (!) Sicherheitslücken, die von externen Sicherheitsforschern gemeldet wurden. Das Edge-Update bringt in der neuesten Version alle entsprechenden Änderungen.

Download Microsoft Edge-Browser auf Chromium-Basis Siehe auch: