[English]Microsoft hat zum 30. Juni 2022 den Edge-Browser im Stable Channel auf die Version 103.0.1264.44 aktualisiert. Es ist ein Wartungsupdate, welches die als kritisch eingestufte Elevation of Privilege-Schwachstelle CVE-2022-33680 (Ausbruch aus der Sandbox) beseitigt. Ergänzung: Erste Rückmeldungen deuten darauf hin, dass auch das GPO-Problem behoben ist. Allerdings gibt es Meldungen über einen Download-Bug.
Anzeige
Infos von Microsoft
Ich bin per Mail von Microsoft auf dieses wichtige Update des Microsoft Edge-Browsers hingewiesen worden. Diese Schwachstelle könnte zu einem Ausbruch aus der Browser-Sandbox führen.
********************************************
Title: Microsoft Security Update Releases
Issued: June 30, 2022
********************************************
Summary
=======
The following CVE has undergone a revision increment.
=============================================
* CVE-2022-33680
Anzeige
– CVE-2022-33680 | Microsoft Edge (Chromium-based) Elevation of Privilege
Vulnerability
– https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33680
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: June 30, 2022
– Updated: N/A
– Aggregate CVE Severity Rating: Important
Ein Angreifer könnte eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitslücke über Microsoft Edge auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, einen Benutzer dazu zu zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen müsste der Angreifer den Benutzer zu einer Aktion überreden, in der Regel durch eine eine E-Mail oder Sofortnachricht, oder indem er den Benutzer dazu bringt, einen per E-Mail gesendeten Anhang zu öffnen.
Die Release Notes geben keine Details zum Update her, aber der Edge 103.0.1264.44 basiert gemäß dieser Seite auf dem Chromium 103.0.5060.53.
Der Browser sollte automatisch aktualisiert werden, kann aber auch auf der Edge-Seite (deutsch, englisch) heruntergeladen werden.
GPO-Probleme behoben?
Im Beitrag Edge Stable 103.0.1264.37 macht Gruppenrichtlinien kaputt (Chrome-Bug) hatte ich ja das Problem adressiert, dass bei einzelnen Nutzern die Gruppenrichtlinien beim Edge nicht mehr richtig funktionieren. Bekannt war, dass Microsoft an einem Fix arbeitet, ohne dass ein Release-Termin genannt wurde. Sascha Anders schreibt hier:
seit Update 103.0.1264.44 (gerade angeworfen) keine Auffälligkeiten mehr. Scheint gefixt zu sein.
Danke für diesen Hinweis. Im Techcommunity-Thread hier schreibt Eric Lawrence (Produktmanager bei Microsoft):
Yes, the fix is checked in and awaiting the next respin/release (103.0.1264.44).
Können andere Betroffene dies bestätigen?
Bug bei Downloads
Ergänzung: Es kristallisiert sich in nachfolgenden Kommentaren heraus, dass mit dieser Version mehr Leute von den im Beitrag Download-Bug bei Microsoft Edge 103.0.1264.44: .crdownload-Dateien bleiben zurück beschriebenen Bug betroffen sind.
Ähnliche Artikel:
Microsoft Edge 102.0.1245.30 erzeugt Fehler beim PDF-Drucken
Workaround für Edge 102.0.1245.xx PDF-Druckprobleme
Edge 102.0.1245.30 ff.: "Hardware-erzwungener Stackschutz" verhindert Start
Edge Stable 103.0.1264.37 macht Gruppenrichtlinien kaputt (Chrome-Bug)
Anzeige
Wir hatten das Problem ebenfalls, dass nach jedem GPUpdate die verteilte Extension als nicht erlaubt beanstandet wurde. Mit dem Update ist der Fehler verschwunden.
Danke für die Rückmeldung.
achja auch diese version macht bei downloads wieder mist
seit der letzten major release bleiben mir auf allen Rechnern nach einem Download files mit namen beginnend Nicht bestätigt … und grösse 0 übrig zusätzlich zum eigentlichen download. ich mein da bei deskmodder auch was schon diesbzgl. gelesen zu haben
Wenn Du noch zusätzliche Hinweise (Links etc.) und einen Screenshot hast, lasse es mich wissen. Ich ziehe es mal separat heraus.
Moin,
das kann ich so zumindest auf Win11 Insider und Win11 Business (beides ohne Edge Policies) für den Download von .exe und .msi Dateien bestätigen. Auf Server 2016 mit "Block malicious downloads and dangerous file types" als Download Restriction in der GPO kommt das nicht vor.
Gibt es irgenwo Infos darüber, was MS im Edge Release funktional geändert hat, außer die Infos zu den CVEs?
Da ist Null Information. Wenn Du mir einige Screenshots (per Mail) zuschickst (nicht breiter als 640 Pixel) und vielleicht zwei drei Sätze dazu schreibst, versuche ich einen Blog-Beitrag zusammen zu nageln. Die englischsprachige Fassung kann ich ggf. an Microsoft spülen. Mehr vermag ich nicht zu tun.
Hallo Günter,
2 Screenshots kann Du hier herunterladen: *** Link nach Download entfernt ***
Auch bei Dr.Windows (sorry, das ich den Blog erwähne…) wurde die Sache diskutiert, siehe:
https://www.drwindows.de/xf/threads/downloads-mit-edge-crdownload-anhang.180859/page-3#post-1967641
Bitte den Kommentar im Anschluss löschen.
Danke Dir und ein schönes WE,
Bernie
Danke für die Screenshots und den Hinweis. Ich habe die Screenshots heruntergeladen und deinen Link aus dem obigen Kommentar entfernt. Den Link zur Diskussion auf Dr. Windows würde ich gerne für die Leserschaft stehen lassen.
PS: Und nein, ich habe keine Probleme mit Verlinkungen zu Dr. Windows oder deskmodder.de, wo das sinnvoll ist. Ich stehe mit beiden Betreibern hinter den Kulissen in Kontakt und tausche mich aus. Es wird hier in Artikeln ja durchaus auch auf Beiträge der Kollegen verwiesen ;-).
Ergänzung: Der Beitrag geht Samstag Nacht 0:01 Uhr online.
Download-Bug bei Microsoft Edge 103.0.1264.44: .crdownload-Dateien bleiben zurück
Microsoft wurde auf Twitter mit Link zum englischsprachigen Beitrag informiert. Mal sehen, ob sich was tut.
Wobei die unter Dr. Windows beschriebene Lösung (Deaktivierung von Microsoft Defender SmartScreen und Potenziell unerwünschte Apps blockieren) aus Sicherheitsgünden auf keinen Fall angewendet werden sollte.
In Unternernehmen sollte die Aktivierung eh per GPO gesetzt werden.
Ist halt ein Bug und tritt (wie Carsten bereits erwähnte) nur bei den Dateitypen .exe und .msi auf.
Schade, dass MS nie dazu schreibt, welche von den kürzlich in Chrome geschlossenen Sicherheitslücken mit dem aktuellen Edge-Update auch geschlossen werden.