[English]Microsoft hat zum 7. Dezember 2023 den Edge 120.0.2210.61 im Stable-Channel veröffentlicht. Diese Version schließt gleich drei Schwachstellen (und zudem Chromium-Sicherheitslücken). Der neue Edge kommt zudem mit neuen Richtlinien. Eine bezieht sich auf eine neue Telemetriefunktion, die Suchverläufe über Drittanbieter-Suchprovider speichert (ist standardmäßig aktiv). Danke an die Blog-Leser für die Hinweise.
Anzeige
Chaos bei den Updates?
Ich hatte die Tage im Beitrag Google Chrome 120.0.6099.62/.63 (Stable/Extended Stable) darüber berichtet, dass im Google Chrome 120 mehrere Schwachstellen (einige als High bewertet) geschlossen wurden. Microsoft hatte zum 6. Dezember 2023 den Hinweis "Microsoft is aware of the recent Chromium security fixes. We are actively working on releasing a security patch." veröffentlicht (siehe diesen Leserkommentar). Dieser Hinweis scheint verschwunden. Robert merkte an, dass die Version 120.0.2210.61 des Edge noch nicht auf der neuen Chrome-Version 120.0.6099.71 basiert. Hier habe ich aber keinerlei Informationen zu gefunden – gehe ich die geschlossenen Schwachstellen durch, sind die Chromium-Sicherheitslücke mit gefixt.
Edge 120.0.2210.61 mit Sicherheitsfixes
Zum 7. Dezember 2023 hat Microsoft die Veröffentlichung des Edge 120.0.2210.61 im Stable-Channel bekannt gegeben. Gemäß den (Sicherheits-)Release Notes soll diese Version die neuesten Sicherheitsupdates des Chromium-Projekts enthalten. In den Sicherheits-Release-Notes gibt Microsoft an, die nachfolgenden Schwachstellen geschlossen zu haben.
- CVE-2023-38174: Offenlegung von Informationen, CVSS:3.1 4.3 / 3.8; Schweregrad: Niedrig; Der Benutzer muss auf eine speziell gestaltete URL klicken, um vom Angreifer kompromittiert zu werden. Durch die Ausnutzung dieser Sicherheitsanfälligkeit wird nur ein begrenzter Teil der Informationen offengelegt, es können keine sensiblen Informationen erlangt werden.
- CVE-2023-35618: Erhöhung von Berechtigungen, Erhöhung von Berechtigungen, Schweregrad: Mittel; Diese Sicherheitsanfälligkeit könnte dazu führen, dass eine Browser-Sandbox verlassen werden könnte. Dazu muss ein Nutzer eine manipulierte Webseite besuchen, diese herunterladen und öffnen. Dann ist eine Remote Code-Ausführung möglich. Microsoft schreibt aber, dass der der Schweregrad herabgestuft wurde, weil wohl viele Benutzerinteraktionen oder Vorbedingungen erforderlich sind, um die Ausnutzung zu ermöglichen.
- CVE-2023-36880: Offenlegung von Informationen, CVSS:3.1 4.8 / 4.2; Schweregrad: Niedrig; Angreifer müssten Informationen über die Umgebung sammeln und zusätzliche Maßnahmen ergreifen, um die Zielumgebung vorzubereiten. Es können laut Microsoft keine sensiblen Informationen erlangt werden. Angreifende, die die Sicherheitsanfälligkeit erfolgreich ausgenutzt haben, könnten in begrenztem Umfang in der Lage sein, Code auszuführen. Microsoft stuft die Ausnutzung als unwahrscheinlich ein.
Laut dieser Microsoft-Seite werden zusätzlich die Schwachstellen CVE-2023-6512, CVE-2023-6511, CVE-2023-6510, CVE-2023-6509 und CVE-2023-6508 beseitigt. Das sind aber alles Schwachstellen aus dem Chromium-Zweig des Browsers (siehe Google Chrome 120.0.6099.62/.63 (Stable/Extended Stable)).
Neue Features eingeführt
Mit dem Edge 120.0.2210.61 wurden auch zwei neue Features implementiert, die Microsoft in den Release Notes aufführt. Hier die Beschreibung dieser neuen Funktionen:
Anzeige
- RendererAppContainer. Für zusätzliche Sicherheitsvorteile ist der native Windows-App-Container standardmäßig aktiviert. Das kann aber per Richtlinie bei Kompatibilitätsproblemen abgeschaltet werden – siehe Hinweis.
- Updated SmartActionsBlockList policy. Die SmartActionsBlockList-Richtlinie wurde mit neuen Zuordnungen von Richtlinienoptionen aktualisiert. Administratoren können die Richtlinie jetzt so konfigurieren, dass sie Smart-Aktionen wie Definitionen auf Websites (smart_actions_website) oder Smart-Aktionen in PDFs und auf Websites (smart_actions) kontrolliert.
Hinweis: Sofern Unternehmen ein Kompatibilitätsproblem aufgrund von Code-Injektion durch Sicherheitssoftware feststellen, sollten sie sich direkt mit dem Softwarehersteller in Verbindung setzen. Alternativ können sie die Richtlinie RendererAppContainerEnabled verwenden, um die Sicherheitsvorteile in Microsoft Edge mit ihrer anderen Software auszugleichen.
Neue Richtlinien und eine Telemetriefunktion
Mit dem Edge 120.0.2210.61 wurden auch einige neue Richtlinien implementiert, die Microsoft in den Release Notes aufführt. Ich habe die betreffenden Richtlinien hier mal herausgezogen:
- AutoDiscardSleepingTabsEnabled – Configure auto discard sleeping tabs
- AutomaticProfileSwitchingSiteList – Configure the automatic profile switching site list
- Edge3PSerpTelemetryEnabled – Edge 3P SERP Telemetry Enabled
- PostQuantumKeyAgreementEnabled – Enable post-quantum key agreement for TLS
- WebAppSettings – Web App management settings
Die Beschreibungen sind in den verlinkten Abschnitten zu finden. Ich möchte aber noch auf die Richtlinie Edge 3P SERP Telemetry Enabled eingehen. Blog-Leser Michael P. hat mich heute früh per Mail über eine Spezialität bei den neuen Richtlinien informiert (danke) und schrieb: Interessant ist die neue Telemetrie-Funktion, die man über GPO oder im Menü abschalten kann (auf die Schnelle nicht gefunden wo das sein soll). Das bezieht sich auf die Richtlinie Edge3PSerpTelemetryEnabled – Edge 3P SERP Telemetry Enabled.
Ab dem Edge 120.0.2210.61 erfasst die Edge3P-Telemetrie Suchanfragen, die der Benutzer bei Drittanbietern durchführt, ohne die Person oder das Gerät zu identifizieren. Die Erfassung soll nur erfolgen, wenn der Benutzer dieser Datensammlung zugestimmt hat. Der Benutzer kann die Erfassung jederzeit in den Browsereinstellungen deaktivieren.
Allerdings ist die Telemetrie standardmäßig aktiv, denn Microsoft schreibt: "Wenn Sie diese Richtlinie aktivieren oder nicht konfigurieren, wird die Edge 3P SERP Telemetrie-Funktion aktiviert". Um die Erfassung des Suchverlaufs durch die Edge 3P SERP-Telemetriefunktion zu verhindern, müssen Administratoren diese Richtlinie deaktivieren. Das kann per GPO Edge3PSerpTelemetryEnabled unter Administrative Templates/Microsoft Edge/ oder in folgendem Registrierungszweig erfolgen:
HKLM\SOFTWARE\Policies\Microsoft\Edge\Recommended
Dort ist der 32-Bit-DWORD-Wert Edge3PSerpTelemetryEnabled auf 0x00000000 zu stellen, um die Erfassung zu unterbinden. Ein Wert 1 oder ein fehlender Eintrag lässt die Telemetrie zu (siehe auch die Diskussion in den Kommentaren).
Anzeige
Irgendwie finde ich die Bezeichnung "Edge3PSerpTelemetryEnabled" etwas falsch gewählt. Man stellt "Enabled" auf 1 um die Funktion abzuschalten? Sowas denkt sich auch nur Microsoft aus.
😁 Nein, nein, dass hat schon alles seine Richtigkeit.
Kein Bing – kein Bock drauf – also Schnorcheln by default.
Und wenn du glaubst du hast es abgewürgt… ne ist eingeschaltet 🥰
Ich wusste es schon immer. 😋
Windows as a service – forever. 🥳
—Grüße—
Okay hat sich jetzt ja geklärt!
Wert auf null setzen heißt auch aus!
Dann war die Kritik unberechtigt!
—Grüße—
Nein. du stellst "Enabled" auf Null = Deaktiviert.
Es wird Zeit, das man den Edge restlos deinstallieren kann.
Es reicht Firefox only zu nutzen.
Ein gewisser Teil Rest-Telemetry landet beim Nutzen von Windows10++ sowieso immer bei Microsoft.
Die in naher Zukjunft angekündigte tiefe Integration von AI/KI wird das Problem weiter verschärfen.
Danke für das Zusammenfassen der CVE-Nummern, dass MS das nicht selbst in den Releasenotes hinbekommt… *facepalm*
Sie sind übrigens mal schneller als die Updateübersicht bei PatchMyPC, weiter so!
Ich habe den Registrierungseintrag Edge3PSerpTelemetryEnabled gesetzt und das Update installiert.
Wo kann ich nun im GUI prüfen ob diese Funktion ein oder ausgeschaltet ist?
Ich habe keine Antwort, aber eine ergänzende Frage:
wenn die Schlüssel schon derart krude heißen, warum bist du dir sicher, dass dir eine wie auch immer geartete Anzeige in der GUI die "Wahrheit" bezüglich dieser Funktion sagt?
Wenn Du edge://policy aufrufst, kannst Du das Prüfen. Such dann nach der Richlinie. Womöglich musst Du oben noch den Haken bei "Show policies with no value" setzen.
Ist die Richtlinie konfiguriert, steht beim Status "OK". Wenn nicht, dann "Not Set.".
Das mit edge://policy wusste ich, habe auch nachgeschaut und ist vorhanden.
Beim Wert ist ja auch hier nicht definitiv ob 0 oder 1. Somit wollte ich im GUI nachschauen was meine Policy bewirkt.
Heute Morgen habe ich n0ch keine ADMX für Edge 120 gefunden.
https://www.microsoft.com/de-de/edge/business/download?form=MA13FJ
der Wert ist in download von heute früh
Zum Edge3P-Telemetrie deaktivieren muss der Wert sicher 0 sein.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"Edge3PSerpTelemetryEnabled"=dword:00000000
Bin nicht sicher, wie MS die Logik implementiert hat – der Name des DWORD-Werts würde deine Annahme stützen. Aber: Ein fehlender Wert oder 0 heißt eigentlich, dass eine Richtlinie nicht aktiv ist, mit 1 wird sie aktiviert. Wenn Microsoft aber schreibt, dass die Telemetrie standardmäßig aktiv ist, wenn der Wert fehlt, müsste die Logik trotz des Namens für den DWORD-Wert invertiert sein – also 1 schaltet die Richtlinie ein und damit die Telemetrie ab. Das war meine Überlegung für die Aussage im Text – mag mich aber täuschen. Kann ja jemand, der den Edge nutzt, per GPO verifizieren.
Edge3PSerpTelemetryEnabled muss auf 0 stehen.
Das mit dem Recommended sind Standardeinstellungen für den Benutzer, dieses hier unter SOFTWARE\Policies ist eine Richtlinie.
Ich habe die Richtlinie schon vor Ausrollung vorbereitend gesetzt und es steht auf 0.
Ansonsten ist das eine informative Seite:
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#edge3pserptelemetryenabled
Das, was in dem Beispiel steht, ist in der Regel das, was man nicht will – einfache Regel. ;)
Danke für die Ergänzung.
Richtig.
Edge/Chrom/Chrome artige keinen 3 Orte für Settings.
– Preference .\Software\Microsoft\Edge …
– Policy .\Software\Policies\Microsoft\Edge
– Recommended .\Software\Policies\Microsoft\Edge\Recommended
Der Trick ist: .\Recommended wird als erstes gelesen. Setzt der User dann einen Preference Wert (den er selber editieren darf) dann gewinnt dieser. Wird es als Policy gesetzt, dann wird der 3te Speicherort als letzter eingelesen -> Last Writer Wins
Müsste unter den Einstellungen –>Datenschutz Suche und Dienste
der Punkt: Such- und Dienstverbesserung
Tragen Sie zur Verbesserung von Microsoft-Produkten bei, indem Sie die Ergebnisse aus Suchvorgängen im Web senden.
Diese Daten werden niemals mit Ihnen oder Ihrem Gerät in Verbindung gebracht.
sein.
Bei mir ist der Schalter auf aus.
Vielleicht ist das ja bei der Neu-Installation aktiviert.
Auf einem Windows 10 Rechner finde ich die Einstellung unter edge://policy/ – ist dort aber nicht gesetzt, damit ist dieses Feature aktiv.
Auf einem MacOS Rechner finde ich diese Einstellung nicht.
Beide Rechner habe die gleiche Edge Version – 120.0.2210.61
Richtig benutzerfreundlich, diese Telemetrieeinstellung! 👍
Auch ganz toll ist, wie die Einstellung der Standardsuchmaschine durch das Update einfach auf Default (Bing) zurückgesetzt wird…
Wer bitte nutzt diesen Browser freiwillig (privat)?
Ist hier nicht umgestellt.
ist hier auch nicht umgestellt… musst nur richtig konfigurieren dann stellt dir nen Update da auch nix um.
Leider funktioniert nach Update das Drucken über "Als PDF speichern" nicht mehr, bleibt hängen. Drucker "Microsoft Print to PDF" ist nicht betroffen. Phänomen tritt unter W10 als auch W11 auf.
Ja ist hier genau so, hab das nie benutzt sondern immer nur "Microsoft Print to PDF".
Gab's das vor dem Update auch schon?
kann ich auch bestätigen: es wird kein Namen mehr vorgeschlagen, nur index.pdf, das kommt aber nicht zu Ende (kann im Download-Tab verfolgt werden)
Super. In unserer Domäne startet heute kein Edge mehr. Nirgendwo.
Klasse.
Also, falls es jemandem ähnlich geht, und er sich nicht darüber freut:
Wir haben nacheinander die verwendeten "Microsoft Edge" GPOs von aktiviert auf deaktiviert bzw. umgekehrt geschaltet. Nach dem wir "Hubs-Seitenleiste anzeigen" von "Deaktiviert" auf "Aktiviert" gestellt hatten, ging der Edge wieder auf. Wir haben das jetzt in den "Microsoft Edge – Standardeinstellungen" deaktivert.
es hilft auch, aus %appdata%\local\Microsoft\Edge\User Data\ den Inhalt zu löschen, nicht die feine Art, aber wenns schnell gehen muss. Oder anderer Windows Benutzer.
Danke, der eigentliche Grund wäre aber mal interessant. Die GPOs haben wir zuletzt im Februar angepasst um bewusst die lästige Sidebar weg zu haben und jetzt auf einmal macht das Update ein Problem. Da weiß doch bei MS mal wieder einer nicht was der andere gepfuscht hat.
Wir haben seit Freitag das Problem, dass Edge sich kurz öffnet, dann aber sofort wieder schließt. Bisher haben wir als Lösung nur das Löschen des Edge AppDataLocal Ordners gefunden. Geht es jemand auch noch so?
Edege hat sich bei uns gar nicht geöffnet. Neue ADMX-Files, genutzte Vorlagen nacheinander hin und her geschaltet und immer wieder gpupdate … nach dem Aktivieren von Hubs-Seitenleiste anzeigen ging es plötzlich wieder. Dann also andere GPO wieder auf Ausgangslage und Kommando an alle, Rechner neustarten. Jedenfalls sind wir so vorgegangen.
bei uns hatten wir bei ca. 30 von 2000 PCs das identische Verhalten. Also Edge geht ein paar Millisekunden auf und schließt sich dann wieder. Warum ist mir immer noch nicht klar. Was hat das mit der Seitenleiste zu tun, die haben wir ausgeblendet. ? Wir sind gespannt..
Ja, wie das zusammenhängt wüsste ich auch gerne!
Die Seitenleiste hatten wir natürlich auch abgeschaltet und hätten es auch gerne so gelassen.
War für uns eine "saubere" Lösung mit der GPO. Nur bei einem Rechner schein es nicht funktioniert zu haben, aber der steht am letzten Standort hinter'm Wald…
Bei uns tritt das Problem auch sporadisch auf. Hat aber nichts mit der Seitenleiste zu tun.
Es hilft User Data, oder auch nur die Preferences Datei unter Edge\Default im Benutzerprofil zu löschen.
Eine Analyse ergab, dass es eher Richtung Edge Business Profil (None, On-Premise, Azur) geht. Ist aber noch nicht abschließend gelöst.
Damit die Anwender arbeiten können, erneuern wir das Edge-Profil.
Wir haben die profile.pb gelöscht. Dann konnte man auch wieder starten.
Das mit den GPOs hatte bei uns kein Erfolg.
Wir haben einen Fall bei Microsoft hierzu eröffnet. Die erste Rückmeldung war:
Wenn Sie die Richtlinie "BrowsingDataLifetime" verwenden, deaktivieren Sie diese bitte vorerst.
Wenn möglich, führen Sie ein Downgrade des Edge auf Version 119 durch.
Testweise haben wir sämtliche Edge-Gruppenrichtlinien deaktiviert, allerdings ohne Erfolg. Auch das Löschen der AppData Edge Ordner und Registry Einträge in HLKM und HKCU hat bei uns nicht geholfen.
Hallo, vielen Dank für diesen interessanten Hinweis. Die Browserdatalifetime hatten wir tatsächlich auch aktiv, aber jetzt nicht mehr aktiv geschaltet weil sich Anwender ohnehin sehr negativ geäußert hatten! Dann lag es vielleicht da dran!
Seitenleiste und die Browserdaten werden jetzt eben über die Standardeinstellungen (können vom Benutzer geändert werden) gesteuert.
Hallo,
Einer ordentlichen Deinstallation von Edge kann ich nur zustimmen.
Den Endlos-Absturz von Edge hatte ich mit Version 119.0.2151.44. Der Fehler, der Wurm war für mich unbesiegbar.
Zu diesem Zeitpunkt hatte ich Glück, Firefox nebenher im Schlafmodus zu haben.
Kein Erfolg mit Neuinstallation dieser Version. Ein paar Tage nach dem Crash habe ich WIN11 neu hochgezogen und sofort mit update auf Version 119.0.2151.58 keine Sorge mehr. Nur habe ich seitdem ewige PIN-Abfrage… Werde demnächst WIN10 neu hochziehen und dann das Angebot zum Wechsel auf WIN11 annehmen. Über diesen stillen Entwicklungsweg wurde keine PIN-Abfrage aktiviert.
Jetzt habe auch ich die pdf-Problematik mit der Version 120.0.2210.61 – das Drucken über "Als PDF speichern" erfolglos.
"Microsoft Print to PDF" ist für mich keine Alternative, da keine ordentliche Nutzung dieser pdf-Datei möglich ist.
Ansonsten hatte ich bis Nov`23 keine Edge-Sorgen.
wollte noch kurz ein Update geben: Zwischenzeitlich gab es ja schon 2 Edge Updates. Mit der Version 2210.89 bzw. auch schon .77 hat sich das Problem wohl wieder erledigt. Jedenfalls sind bei uns keine Hotline Anrufe mehr angekommen. Hoffen wir mal dass es so bleibt.
Danke – ich hatte den Beitrag schon angedacht – fand aber keinen Change-Log zu den neuen Edge-Varianten.