Microsoft hat den Edge-Browser zum 13. Juli 2023 auf die Version 114.0.1823.82 aktualisiert. Bereits am 10. Juli war die Version 114.0.1823.79 erschienen. Die Release Notes geben an, dass verschiedene Bugs und Leistungsprobleme für den Microsoft Edge behoben seien. Und hier werden die drei Sicherheitsfixes für die .82 aufgeführt. Danke an den Leser für den Hinweis.
Anzeige
Als Standard Browser habe ich den Firefox installiert.
Den Edge habe ich über die Gruppenrichtlinien deaktiviert, damit diese
Fehlgeburt mir nicht das ganze System versaut.
Trotzdem bekomme ich immer wieder Updates für den Edge. Das verstehe
ich nicht.
Edge ist mehr als die Browser GUI – mit dem Update werden interne Komponenten zur HTML-Behandlung aktualisiert.
Auch dient Edge als Basis für Thirdparty Webapps.
Ist nicht weiter tragisch das die Applikation auf dem System aktualisiert werden, solang sie nicht verwendet werden.
Ich schreibs ab und zu gelegentlich mal unter Artikel, die Edge betreffen: Viel lieber würde ich wissen, wie man das Ding restlos vom System entfernen kann, jetzt, wo es so tief ins OS integriert ist.
Von solchen Maßnahmen würde ich abraten.
Der Browser ist Kernkomponente im Betriebssystem.
Hier eine Applikation mit der sich Edge blockieren lässt:
https://www.sordum.org/9312/edge-blocker-v1-9/
Zu dem Thema hat ein Leser im englischsprachigen Blog geschrieben, dass in Windows LTSC der Edge noch deinstallierbar sei. Der Rest ist imho ein nutzloses Unterfangen, da jedes Update in W10/W11 und Server 2022 die Komponenten wiederbringen kann – imho.
Das hier ist doch ein Blog, der sich hauptsächlich auch um Sicherheitsaspekte kümmert? Warum wird nicht erwähnt, dass hier ein Sicherheitsupdate vorliegt?
CVE-2023-36883 – 7,5 High, übrigens auch bei "Jenknis"
CVE-2023-36887 – Einstufung noch nicht erfolgt, betrifft auch "Wordpress"
CVE-2023-36888 – Einstufung noch nicht erfolgt
Man sieht hier auch sehr schön den Einfluss von Opensource-Libs die angeblich so sicher sind, kann ja jeder lesen und verbessern… Jeder verwendet sie ungeprüft, und dann haben plötzlich Chrome, Edge, Jenkins und WordPress die gleichen Sicherheitslücken. Das sind die Einflüsse von NPM und Co.
Es funktioniert! Irgendwie.
1. Danke für den Nachtrag!
2. Solange MS es in den Release Notes nicht für notwendig erachtet, das mit den CVEs zumindest zu verlinken, wird es auch in Blog-Beiträge nicht einfließen – die 200 Leute, die solche Beiträge abrufen, mögen selbst recherchieren – ich ringe eh mit mir, ob ich nicht das Update-Meldungs-Zeugs zu Firefox, Thunderbird und Edge komplett einstelle – die Abrufzahlen sind einfach grottig.
Punkt 2 ist der Knackpunkt. Inzwischen musst Du an zig Stellen bei MS nachsehen, ob es eventuell weitergehende Infos gibt. Bei Themen, die breiter auf Interesse stoßen, versuche ich das – beim Edge wird es schwierig …
Ergänzung: Vielleicht hab ich es die Nacht übersehen oder es war noch nicht verlinkt – der Verweis auf die Seite, wo die drei Schwachstellen aufgelistet sind, ist kurz nachgetragen.
Ich habe die Info in dem Link von Ihnen gefunden, vielleicht waren Sie auch einfach nur zu schnell ;). Ich habe dann lediglich nochmal nach den 3 CVEs gegoogelt, um eine Einstufung zu erhalten, und da fand ich dann auch das mit WordPress und Jenkins.
Tatsächlich finde ich die kurzen Beiträge zu verschiedenen Updates völlig ausreichend, denn ich klicke diese Artikel selbst kaum aktiv an und nehme sie lediglich beim Durchstöbern des Blogs rein als Service-Information wahr.
Viel muss darin auch nicht stehen, denn bei dem Punkt stimme ich zu, wer mehr darüber erfahren möchte, kann auf die (großzügigerweise) verlinkten Release Notes klicken.
Ich fände es dennoch schade, wenn diese kurzen Beiträge eingestellt werden würden, denn für mich ist dieser Blog (auch dank der anderen Leser, die kommentieren) eine sehr wichtige Anlaufstelle allgemeiner IT-Themen geworden.
Ich finde es schon wichtig, wenn drin steht, ob sicherheitsrelevant oder nicht. Denn das ist meine Entscheidungsgrundlage, ob und wie schnell ich ein Update verteilen muss.
Bei uns erfolgt die Verteilung der Edge-Updates per integriertem Auto-Update, bei manuellem freigeben kommt man sonst ja kaum noch hinterher…. Zudem wirkte es so als wären die Update über den Edge-integrierten Weg schneller verfügbar als via WSUS, selbst bei einem stündlichem Sync des WSUS gen MS (den man ja für normale OS-Updates nicht bräuchte…)
Neben Edge sind aber auch andere Browser auf den Clients, von daher wäre selbst ein per Update kaputter Edge zwar ärgerlich aber bis zu einem Fix von MS verschmerzbar.
Bei uns ist jedes Software-Update ein eigener Change-Prozess, der diverse Aktiuonen als Workflow zur Folge hat. Das heißt Aufwand, jedes Update muss geprüft werden,. ob alles noch wie erforderlich funktioniert, bei einigen Updates machen wir zusätzlich auch Sandbox-Tests und schauen z.B. mit Wireshark und Processexplorer was die Software im Speicher, auf Platte und im Netzwerk anstellt. Im Falle des Browses bedeutet das, dass bei rund 2 Dutzend Webportalen keine Probleme auftauchen. Einen Stillstand wegen einem Browserupdate z.B. unserer Web-basierten Workflowtools können wir uns nicht leisten. Also erstmal testen, kommt aber nur selten vor, dass das Support-Team für diese Webanwendungen tatsächlich mal eingreifen muss, das wäre aber blöd. Den Aufwand treiben wir aber nur bei sicherheitsrelevanten Updates, und Fehlerbereinigungen/Funktionserweiterungen die für uns tatsächlich relevant sind. Updates, die z.B. im Zusammenhang mit irgend einer anderen Software, die wir nicht im Einsatz haben, irgendwelche Fehler bereinigt, wird ignoriert. Siehe z.B. Firefox 15.0.1, der mit irgend einem AV nicht mehr funktionierte, sowas ist für uns irrelevant weil wir einen anderen AV haben.
Zu:
"Ich ringe eh mit mir, ob ich nicht das Update-Meldungs-Zeugs zu Firefox, Thunderbird und Edge komplett einstelle
– die Abrufzahlen sind einfach grottig."
Zugegeben, für die Info, ob aktuelle Updates für unseren "Software-Zoo" vorliegen, läuft bei uns ein Monitoring auf Webseiten wie ivanti Shavlik, Chokolatey, Ninite, Major Geeks, etc.
Aber:
Wenn ein Update in einen Fehler läuft oder nach der Installation des Updates Probleme auftreten, braucht es eine Plattform, wo man die Probleme mitteilen oder Lösungen recherchieren kann.
Und in dieser Hinsicht ist nun mal dein Blog top und aus meiner Sicht unverzichtbar.
Daher, falls möglich, bitte die Update-Meldungen beibehalten, Dankeschööön!
Ok, ich versuche, weiter Kurzmeldungen zu bringen – die Argumente stechen. Solange ich einen guten Mix an Artikeln, die umfangreicher sind und Abrufzahlen bringen, um das Ganze zu finanzieren, und den Shorties (die nur Arbeit machen), hin bekomme, kann ich es versuchen.
Hi,
dem kann ich nur zustimmen.
Ich bin zwar hauptsächlich stiller Leser, aber anhand der Kommentare haben wir schon recht häufig z. B. Windows Updates zurückgestellt, weil die Probleme, die wir in unserem Unternehmen als Betatester (so kommen wir uns leider vor) haben, nicht tragbar wären!
Daher auch von meiner Seite vielen Dank für diesen Blog und die ganze Arbeit, die drin steckt! Ohne diese Meldungen wären wir sicher in das eine oder andere Problem gelaufen.
Weiter so. :)
Das nächste Update auf die Version 114.0.1823.86 ist vorhanden.
– Fixed various bugs and performance issues.
Bekomme jetzt immer bei jedem Download den "Speichern unter" Dialog angezeigt, obwohl in den Einstellung dieser expliziert ausgeschalten ist.
Lässt sich das irgendwie "forcen"?
Hilft das englische Tutorial hier ggf. weiter?
Nachdem auch die WebView2 Runtime das Update auf die Version 114.0.1823.86 erhalten hat, wollte ich heute Morgen noch für unsere Softwareverteilung den Evergreen Bootstrapper herunterladen, um diesen zu paketieren.
Die bisher genutzte Webseite für den Download
https://developer.microsoft.com/de-de/microsoft-edge/webview2/#download-section
ist aber seit heute Morgen (Stand 18.07.2023) nicht mehr erreichbar.
Die Seite reagiert zäh, aber ich kann die WebView2 Runtime nach einigen Minuten herunterladen.
… und das nächste Update auf Version 114.0.1823.86.