[English]Microsoft hat am 12. Januar 2023 den Edge-Browser im Stable Channel auf die Version 109.0.1518.49 angehoben. Es ist ein neuer Entwicklungszweig, der mit dem Release des Chromium-Teams nachzieht. Dies ist die letzte Version, die noch mit Windows 7 SP1 und Windows 8.1 sowie den Server-Pendants läuft. Ab Version 110 droht an weiteren Stellen Ungemach.
Anzeige
Edge 109.0.1518.49 Stable Channel
Gemäß den Release Notes enthält das Update auf den Microsoft Edge Stable Channel (Version109.0.1518.49) die neuesten Sicherheitsupdates des Chromium-Projekts (siehe Google Chrome Version 109.0.5414.xx / 108.0.5359.179). Zudem werden folgende, Edge-spezifische Schwachstellen geschlossen:
Der Edge sollte automatisch aktualisiert werden. Die Änderungen im neuen Edge 109 sind hier nachzulesen. Auf ghacks.net finden sich noch einige Hinweise zu Neuerungen im Browser. Die Kollegen von deskmodder.de haben diesen Beitrag mit Änderungen veröffentlicht.
Achtung beim Edge 110
Der Edge Version 110 ist nicht nur die erste Version, die nur noch ab Windows 10 läuft. Microsoft weist hier auf eine Änderung in der Verifizierung von TSL hin:
- TLS server certificate verification changes. In Microsoft Edge version 110, the certificate trust list and the certificate verifier will be decoupled from the host operating system's root store.
- Instead, the default certificate trust list and the certificate verifier will be provided by and shipped with the browser. The MicrosoftRootStoreEnabled policy is now available for testing to control when the built-in root store and certificate verifier are used. Support for the policy is planned to be removed in Microsoft Edge version 111.
Details gibt es im Beitrag Changes to Microsoft Edge browser TLS server certificate verification. Blog-Leser Martin Feuerstein wies unter Verweis auf den Beitrag der Kollegen von deskmodder.de auf diese Änderung hin (danke dafür), und schrieb:
Anzeige
"In Microsoft Edge Version 110 werden die Zertifikatsvertrauensliste und die Zertifikatsüberprüfung vom Root Store des Host-Betriebssystems entkoppelt. Stattdessen werden die Standardzertifikat-Vertrauensliste und die Zertifikatsüberprüfung vom Browser bereitgestellt und mit diesem ausgeliefert. Die Richtlinie MicrosoftRootStoreEnabled ist jetzt zum Testen verfügbar, um zu steuern, wann der integrierte Root Store und die Zertifikatsüberprüfung verwendet werden. Es ist geplant, die Unterstützung für diese Richtlinie in Microsoft Edge Version 111 zu entfernen. Dies ist ein kontrollierter Rollout (A/B-Test) der Funktion in Microsoft Edge Version 109."
Da freut sich der Admin, dass Chrome (afaik schon immer) und Abkömmlinge (wie Chromium-Edge) den Zertifikatespeicher des Hosts verwenden, Firefox das irgendwann auch ermöglichte. Und nun will Microsoft das Rad zurückdrehen – Selbst bereitgestellte CA-Zertifikate, die per GPO verteilt werden, werden dann vermutlich nicht mehr akzeptiert.
Einfach im Unternehmensumfeld im Hinterkopf behalten. Ergänzung: Inzwischen gibt es die Version .52 und .55 (siehe Edge 109.0.1518.52/55; aktiviert Passwort-Transfer in die Cloud …).
Ähnliche Artikel:
Google Chrome Version 109.0.5414.xx / 108.0.5359.179
Windows 10: Supportende für Internet Explorer 11 am 15.6.2022
Windows 10: Deaktivierung des Internet Explorer 11 am 14. Feb. 2023
Internet Explorer 11: Kein Zugriff auf OneDrive und SharePoint ab Januar 2023 mehr
Windows 7/8.1: Google Chrome Upgrade-Hinweis auf Windows 10 unter deaktivieren
Anzeige
da war wohl noch ein Fehler drin, weil heute nachts kam die Version 109.0.1518.52 rein.
Kein Eintrag im MSRC Security Update Guide bisher
und damit es uns nicht langweilig wird, kam heute gleich noch die 109.0.1518.55. komischerweise ist die Webview2 im WSUS noch auf .49, über andere Quellen, hier Evergreen, ist das synchron.
Das mit dem Zertifikatsstore entkoppeln ist wirklich blöd, wir verteilen per GPO ettliche interne Zertifikate. Warum kann MS das nicht so machen, dass Edge erst im eigenen Zertifikatsspeicher nachschaut, und wenn es da nichts passendes findet, dann nochmal beim Betriebssystem anklopft?
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#microsoftrootstoreenabled
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-cert-verification
Das sollte man in den nächsten 4-8 Wochen auf jeden Fall mal ausprobieren, funktionieren dann interne Webseiten noch, kann man das Edge-private Rootstore ausschalten, kann man Edge eigene Zertifikate unterjubeln, usw?
Jeder Admin sollte sich auch unter dem Sicherheitssaspekt mal die anderen neuen Gruppenrichtlinien bzw. Einstellungen des Edge 109 ansehen, da ist mindestens ein Ding dabei, das will man nicht erlauben: Die Kopplung des Enterprise-Edge zusätzlich noch mit dem privten MS-Account des Nutzers. Der offizielle Hintergrund ist, dass die Leute dann über die Kopplung auf dem privten Konto "Rewards" abräumen können, die sie dann z.B. im MS-Store ausgeben können, ich hab da auch schon ein paar Dollar liegen, obwohl ich bewusst nichts dafür getan habe und immer fleißig Thunderbird und Firefox nutze… Die Option heißt "LinkedAccountEnabled ".
https://support.microsoft.com/account-billing/account-linking-faq-c66effb9-02e6-49c0-89e1-ae4d8644e6f7
https://support.microsoft.com/account-billing/account-linking-it-admins-faq-72f0dc4e-b632-439e-b90c-347043a7b75a
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#linkedaccountenabled
Auch die TextPrediction Policy sehe ich als problematisch an, denn da versucht dann eine Cloudfunktion vorherzusagen, was man tippen möchte und vervollständigt einem die Eingaben automatisch, vielleicht ist das schon ChatGPT, in Zukunft wird das aber mit Sicherheit genau das sein, jede Tastatureingabe sofort in der Cloud, das möchte sicher auch niemand.
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#textpredictionenabled
Naja, dann mal viel Spaß!
Etliche Settings sollten Vordefiniert werden, und sind teils kritisch – z.B. Schreibunterstützung die über irgendwelche Clouds abgebildet werden, und ggf auch in Kennwort-Feldern angewandt werden.
Diese Version:
DefaultClipboardSetting
Generell:
https://paste.debian.net/1267251/
Hey, cool, danke für diese Liste!
Der Edge Chromium ist eine Fehlkonstruktion und das bleibt auch so.
Da können jetzt die ganzen Besserwisser auf die Barrikaden steigen,
für mich war der Internet Explorer 11 der beste Browser aller Zeiten.
Wenn ich bei den Webbrowser Apps den Internet Explorer aktiviert habe,
und ich versuche den IE11 zu öffnen, dann startet automatisch der Edge.
Das gefällt mir überhaupt nicht, aber es ist so.
Martin Feuerstein schreibt: "Selbst bereitgestellte CA-Zertifikate, die per GPO verteilt werden, werden dann vermutlich nicht mehr akzeptiert."
Ich lese das bei Microsoft anders. Da steht doch explizit, dass Edge weiterhin das Betriebssystem befragen und lokal installierten Zertifikaten vertrauen wird:
"In addition to trusting the built-in roots that ship with Microsoft Edge, the browser will also query the underlying platform for—and trust—locally installed roots that users and/or enterprises installed."
Das Problem ist m.E. also genau anders herum gelagert. Edge wird dann – anders als bisher – Zertifikaten vertrauen, denen man im Betriebssystem das Vertrauen entzogen hat.
Funktional sollte das unproblematisch sein. Aber die Sicherheitsautonomie im Bereich Zertifikate wird damit eingeschränkt.
Der Unterschied der Lesarten ist erheblich und verlangt eine komplett andere Bewertung der Änderungen.
Danke für den Hinweis. Wir hätten erhebliche Probleme, da die Zertifikate für VMware vCenter Appliance und jene auf den ESX-Servern von unserer eigenen internen PKI stammen.
Manche Funktionen arbeiten nur korrekt, wenn die Zertifikate vom Browser auch akzeptiert werden. So klappt der Upload einer ISO in den ISO-Store z.B. nur, wenn der Browser dem Zertifikat des ESX-Servers auch vertraut. Auch gibt es andere intere Dienste wie eine Mailarchivierung, welche per Browser aufgerufen wird und ein Zertifikat der internen PKI verwendet.
Werde das kommende Woche mal testen.
kann ganz einfach auch ohne GPO / Registry getestet werden
edge://flags > Microsoft Root Store > Enabled
Ändert sich denn bei dir was, wenn du in den Flags den MS Root Store auf Disabled setzt?
Ich habe mal die aktuelle DEV Version installiert, um den Schalter zu testen… Ich stelle aber keine Änderung des Verhaltens fest…
User Root CA Cert funktioniert weiterhin, egal welches Setting ich da einstelle…?
Der Scheiss-Browser hat gerade vorhin von sich aus (!) eine Verknüpfung für sich auf meinem Desktop abgelegt!
Vollkrass!
Auf Deinem Desktop wäre ja noch fast erträglich. Diese Verknüpfung wird er in "allusers" abgelegt haben.
Darum kann der User sie nicht mehr löschen und liegt auf allen Desktops rum…
Version 109.0.1518.55
Wir haben mit den neuen Versionen 109.x massive Probleme beim Druck von Webseiten oder auch PDF-Dateien, welche im Edge geöffnet werden sollen. Selbst die Acrobat Reader Extension versagt ihren Dienst. Statt dem Druckdialog kommt nur ein weißes Fenster und der Kreis dreht sich. Das tritt sowohl unter Windows 10 22H2, als auch unter Windows 11 22H2 auf.
Einziger Workaround bisher ist, den IE-Modus für die Webseiten, von denen gedruckt werden muss, zu aktivieren. Das ist für die Anwender natürlich eher medium…
In einer Patchday-Nachlese ist zu lesen, dass der Schnelldruck nicht funktioniert. Auf Facebook gab es folgende Rückmeldung:
Für Leser, die auf diesen Beitrag stoßen – beachtet meinen Blog-Beitrag Massive Druckprobleme im Edge 109er Zweig – Umlaute als Problem
Solche Fehler. In Produktivumgebungen. Fragiler geht es nicht. Der pure Wahnsinn.
In Flugzeugen haben die doch so spezielle verschließbare Tüten? Gibt es die inzwischen auch für Windows Admins, natürlich mit dem MS-Logo?
Die scheinen wirklich nicht mehr zu testen und setzen absolute Anfänger zum Programmieren ein, die nix von Unicode gehört haben.
Selbes Problem hier, Druckvorschau hängt mit endlos drehenden Kreis.
Allerdings bei uns nur, wenn freigegebene Kyocera-Netzwerkdrucker als Standarddrucker konfiguriert sind.
Als Workaround auch möglich: Ctrl+Shift+P öffnet den Standarddruck-Dialog ohne Preview, damit kann man dann drucken.
bzw Server 2012 gibt es eine Änderung
Microsoft Edge and WebView2 ending support for Windows 7 and Windows 8/8.1; Windows Server 2012 and Windows Server 2012 R2 support extends to October 2023
Was soll der Aufruhr?
Der Edge respektiert weiterhin den Zertifikatsspeicher des OS, falls er im eigenen Zertifikatsspeicher nicht fündig wird.
Ryan Ries hat sich da etwas anders zum Thema geäußert WTF von Ryan Ries: Edge verwendet eigene TLS-Zertifikatsprüfungen – ergo: Solange es euch nicht betrifft, leg dich wieder schlafen, es gibt hier nichts zu sehen …