[English]Microsoft hat zum 25. August 2023 den Edge-Browser auf die Version 116.0.1938.62 aktualisiert. Es ist ein Wartungsupdate, welches wohl ein Problem mit ignorierten Gruppenrichtlinien bei Anmeldung am Benutzerkonto behebt und auch Schwachstellen beseitigt.
Anzeige
Edge 116.0.1938.62
EP hat in diesem Kommentar auf die Freigabe des Edge 116.0.1938.62 hingewiesen (danke dafür). Die Release Notes für den Edge 16.0.1938.62 berichten einerseits davon, dass verschiedene Bugs und Leistungsprobleme behoben wurden. Andererseits heißt es (in den Sicherheits-Release Notes), dass die nachfolgende Schwachstellen beseitigt wurde:
CVE-2023-36741: Elevation of Privilege; In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, mit der die Sicherheitslücke ausgenutzt werden kann. Einem Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die Ausführung von Remotecode gelingen.
Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer vor dem Ausnutzen zusätzliche Maßnahmen ergreifen, um die Zielumgebung vorzubereiten. Ein Angreifer hätte jedoch keine Möglichkeit, den Benutzer zu zwingen, die Website zu besuchen. Stattdessen müsste der Angreifer den Benutzer dazu bringen, auf einen Link (z.B. in einer Phishing-Mail) zu klicken, und ihn dann dazu bringen, die speziell gestaltete Datei zu öffnen.
Für die Schwachstelle sieht Microsoft die Ausnutzbarkeit als gering an. Das Edge-Update schließt auch die im Blog-Beitrag Google Chrome 116.0.5845.110/.111 Sicherheitsupdates erwähnten Schwachstellen im Chromium-Browser.
Problem mit ignorierten Richtlinien gefixt?
Im Beitrag Edge 116.0.1938.54 freigegeben, Probleme mit ignorierten Richtlinien bei Anmeldung am Benutzerkonto? hatte ich berichtet, dass bei der erwähnten Edge-Version ggf. Gruppenrichtlinien in Unternehmensumgebungen ignoriert werden, sobald der Nutzer mit seinem persönlichen Microsoft Konto angemeldet ist. Blog-Leser Gunnar Haslinger hatte mich per E-Mail auf diesen Sachverhalt hingewiesen.
War by-design eingeführt worden
Ein weiterer anonymer Blog-Leser hatte dann in diesem Kommentar dann darauf verwiesen, dass diese "by-design" sei und von Microsoft mit dem Edge 116 eingeführt wurde. Der Leser hatte den Techcommunity-Beitrag Microsoft Edge for Business FAQ vom 4. August 2023 verlinkt. Dort wird erläutert, dass Benutzer ab dem Edge 116 mit einem persönlichen Profil ihr berufliches und privates Surfen trennen und die Vorteile des vollen Funktionsumfangs von Edge für den privaten Gebrauch nutzen können sollen.
Anzeige
Und Leser getfirefox schreibt in diesem Kommentar, dass der Edge ab Version 116 unter bestimmten Bedingungen etliche Richtlinien absichtlich ignoriert. Im Support-Beitrag Microsoft Edge-Richtlinien vom 11. Juli 2023 findet sich die folgende Passage:
Ab Microsoft Edge Version 116 werden bestimmte Richtlinien nicht auf ein Profil angewendet, das mit einem Microsoft-Konto angemeldet ist. Weitere Informationen finden Sie in einer einzelnen Richtlinie, ob sie für ein Profil gilt, das mit einem Microsoft-Konto angemeldet ist.
Das ist also kein Bug oder Versehen, sondern gut dokumentierte geplante Absicht, merkt der Leser an. Bei Edge-Profilen, die nicht mit einem Microsoft-Konto verknüpft sind, funktionieren entsprechende Richtlinien weiterhin, bei Profilen mit Microsoft-Konto hingegen seit 116 gewollt nicht mehr. Leider sind das eine ganze Menge Richtlinien, die von dieser Neuregelung betroffen sind.
Microsoft scheint zurück zu rudern
Gerade hat mich Gunnar Haslinger per E-Mail kontaktiert und auf das Edge-Update auf die Version 116.0.1938.62 hingewiesen. Dazu schrieb er:
Servus Günter,
Status Update hierzu: Microsoft hat eingesehen, dass das Verhalten beinahe sämtliche gesetzte Policies zu "ignorieren", wenn ein MSA (Microsoft Account) für die Profil-Synchronisierung genutzt wird, auf keine Akzeptanz bei SysAdmins stößt.
Seit gestern Abend steht Edge Stable Version 116.0.1938.62 zur Verfügung und verhält sich diesbezüglich (zumindest im hier diskutierten Single-MSA Sync-Szenario) wieder wie erwartet, die Policies werden wieder appliziert und nicht mehr ignoriert.
Auch Lösungen wie mein FakeMDM-Provider funktionieren hiermit wieder.
Mein Dank an Gunnar für den Hinweis samt Links. Noch jemand, der dieses geänderte Verhalten so bestätigen kann?
Anzeige
"Noch jemand, der dieses geänderte Verhalten so bestätigen kann?"
Noch nicht, aber das sind gute Nachrichten!
Dieser Bug by Design scheint mir eine Kampagne zu sein, die darauf abzielt, Daten abfließen zu lassen, Admins die Kontrolle zu entziehen und so zu tun, als hätte sich die administrative Hoheit an einem Arbeitsgerät der Kontenverwendung eines Benutzers unterzuordnen.
Extrem ärgerlich ist auch, dass die Extended Stable Release Schedule einfach so ohne Verzögerung gleichzeitig mit Stable einsetzt, also kein Zeitpuffer für Reaktionen damit zu gewinnen ist.
Auf "Lerne bei Microsoft" https://learn.microsoft.com/en-us/deployedge/microsoft-edge-release-schedule lernt man, dass diese Datenleak-Version einfach so synchron mit dem Stable Channel ausgeliefert wird: Woche des Datums 21-Aug-2023,
Version 116.0.1938.54.
Einfach updaten lassen geht unter diesen Bedingungen also nicht mehr.
Als wäre dieses GPO-Hinterhergelaufe nicht schon schlimm genug…
(Ich erinnere mich noch gut an die letzte solche Kampagne, als "versehentlich" bei jedermanns Anmeldung der Edge Browser vollautomatisch mit seinem Erstkontakt-Begrüßungsprogramm startete. Nach einem weiteren Update wurde das Verhalten "behoben", die Mission war schließlich erfüllt.)
@Microsoft: Ich bin euere Gängelei final leid.
Als Microsoft vor ein paar Monaten dazu entschied ohne Ankündigung das nutzen von Online-Konten als SyncErlaubnis für Kennwörter zu interpretieren – habe ich für mich die Reissleine gezogen und bin nach Mozilla gewechselt.
Edge verwende ich nicht mehr privat – werde auch nicht wieder zurück kommen.
Wenn Microsoft meint mich zukünftig in Windows mit KI, Abos, Überwachung und Co zu gängeln werd ich ganz nach GNU/Linux und/oder MacOS und PS5/Switch umstellen. Dann habt ihr einen Kunden der Jahr für Jahr seit 20Jahren+ allein 200EUR+ an Software/Games in das Microsoft-Ökosystem verbuttert hat final vergrault.
in 20+ Jahren 200 EUR… wow davon werden die sich nie wieder erholen ;-P
ich meinte jährlich ;-)
Wenn du sicherer sein willst, würde ich von macOS Abstand halten. Da sind genauso bei jedem Update "Überraschungen" enthalten. Mindestens genauso viel Telemetrie nur halt Richtung Apple. Meiner Erfahrung nach ist macOS um nichts besser, was das Einmelden von Fehlern angeht. Der große Vorteil ist, dass im Ökosystem für Consumer alle Geräte halbwegs gut zusammenarbeiten und macOS mit einem Mac lizenziert ist. Manche Dinge sind massiv gewöhnungsbedürftig oder gar nicht möglich. Mein Ding ist es nicht, da bin ich mit Linux (Mint z.B.) besser zurecht gekommen.
tja auch hier bei einem test die erfahrung gemacht, dass policies mit msa accounts in version .62 wieder funktionieren und angewandt werden.