[English]Microsoft hat zum 21. Dezember 2023 ein weiteres Sicherheitsupdate des Edge (Chromium) Browsers mit der Version 120.0.2210.91 freigegeben. Danke an die Leser für die Hinweise im Blog-Beitrag Edge 120.0.2210.89: Mit Fixes, Neuerungen und Problemen.
Anzeige
In den Sicherheits-Release Notes wird offen gelegt, dass die Microsoft-Entwickler die Schwachstelle CVE-2023-7024 in der Stable Version des Chromium Edge-Browsers geschlossen haben.
Das Chromium-Projekt hatte diese Sicherheitslücke bereits zum 20. Dezember 2023 geschlossen (siehe Google Chrome 120.0.6099.129/130). Laut Google existiert ein Exploit zum Ausnutzen der Schwachstelle in freier Wildbahn.
In den Release Notes heißt es zusätzlich "Fixed various bugs and performance issues for Stable release." Ob die Probleme, die ich im Blog-Beitrag Edge 120.0.2210.89: Mit Fixes, Neuerungen und Problemen angesprochen habe, beseitigt sind, weiß ich nicht.
Anzeige
Irgendwie funktioniert das automatische Update über die beiden Aufgaben der Aufgabenplanung (Windows 10 pro 22H2) nicht! Auch das mehrfache manuelle Ausführen der beiden Aufgaben brachte keinen Erfolg und er blieb einfach stur auf 120.0.2210.77, hat also sogar nicht mal das Update auf die 120.0.2210.61 installiert, obwohl er dieses laut Log am 16.12.2023 gefunden hatte.
Ich nutze den Edge grundsätzlich nicht und sobald die msedge.exe oder die iexplore.exe ausgeführt werden, geschieht dies automatisch, also zwangsweise, in Sandboxie. Wenn ich ihn testweise starte, sehe ich die Version. Updates kann er in der Sandbox natürlich keine finden und installieren.
Als ich ihn dann außerhalb der Sandbox gestartet hatte, fand er das Update auf die 120.0.2210.91 und installierte es auch sofort.
Durchsuche ich das Edge-Log nach "error" findet er nur welche, die vor der Inplace-Installation vom 13.12. 2023 liegen. Durchsuche ich das Log hingegen nach "fail", findet er sowohl davor auch auch nach der Inplace-Installation von Windows 10 22H2, also auch vor dem heutigen Update auf 120.0.2210.91, folgende Zeile, welche allerdings nicht ursächlich für die fehlenden Updates zu sein scheint:
[ExperimentControlLabels::HasLabelValueArgValueByKeyAndArg][failed to get value][008x]
Websuchen zum Edge-Update brachten Folgendes zutage.
Das ist aber nicht ansatzweise hilfreich:
https://www.deskmodder.de/phpBB3/viewtopic.php?t=24713
Bei diesem Fund, mit 10 Beispiel-Logs des Edge, komme ich aber auch nicht weiter:
https://joji.me/en-us/blog/understanding-the-edge-and-edge-webview2-update-logs/#md-5-edge-and-edge-webview2-auto-update-not-executed-both-edge-update-policy-and-edge-webview2-update-policy-are-set-to-quotupdates-disabledquot
Da findet sich exakt der oben genannte Log-Eintrag in den Beispiel-Logs Nr. 5, 7, 8, 9 und Nr. 10:
Log 5) Edge and Edge WebView2 auto-update not executed: Both Edge update policy and Edge WebView2 update policy are set to "Updates disabled"
Jedoch habe ich in der Registry keine Einträge, die ein Update unterbinden würden:
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate"
Hier gibt es nur einen einzigen, jedoch irrelevanten Eintrag und dieser lautet: "CreateDesktopShortcutDefault = 0"
Die folgenden Beispiel-Logs deuten ja schon in ihrer Bezeichnung an, dass sie für das Problem ebenfalls nicht relevant sind.
Log 7) Edge MSI installation succeeded
Log 8) Edge manual update succeeded
Log 9) Edge manual update not executed: Edge is already the latest version
Log 10) Edge auto-update not executed: Edge is already the latest version
Mir war ja schon mal aufgefallen, dass das bloße Aufrufen der Windows-Einstellungen kurz die msedge.exe startete, um einen Status abfragen zu können, welcher dann auf der Seite der Windows-Einstellungen oben rechts angezeigt wurde (neben dem Punkt "Prämien"). Aufgefallen war es mir durch das Trayicon von Sandboxie, da die msedge.exe ja von diesem in eine separate Sandbox gezwungen wird. Jetzt startet die msedge.exe allerdings nicht mehr, wenn ich die Windows-Einstellungsseite aufrufe, und der Eintrag für den Edge-Browser, neben dem Punkt "Prämien", fehlt nun auch.
Nun habe ich den Verdacht, dass sich der Edge zur erfolgreichen Installation eines Updates im Hintergrund starten muss und das Update wegen der Sandbox nicht installiert werden kann. Nach dem nächsten Blog-Artikel zu einem neuen Edge-Update muss ich das mal testen, indem ich die Aufgabe "MicrosoftEdgeUpdateTaskMachineUA" erst mit Sandbox-Zwang für den Edge starte und dann noch mal ohne.
Nachtrag:
Den Vivaldi-Browser zwinge ich auch in eine eigene Sandbox und nutze ihn nur selten. Der macht ja seine Updates ebenfalls über die Aufgabenplanung. Nun fällt mir ein, dass ich den nach jedem Update erst einmalig außerhalb der Sandbox starten muss, da er sich ansonsten in der Sandbox nicht erfolgreich startet, sondern sich sofort, also vor dem Starten der GUI, wieder beendet.
Beim Brave-Browser, welcher sich auch über die Aufgabenplanung updatet und ebenfalls in einer eigenen Sandbox gestartet wird, ist das allerding nicht so – obwohl auch er Chromium als Basis nutzt.
Durch die Update-Erfahrung mit dem Vivaldi verstärkt sich jedoch der Verdacht, dass der Sandbox-Zwang für die fehlenden Updates des Edge verantworlich ist. Mal sehen, ob ich richtig liege, nachdem das nächste Edge-Update dann im Blog angekündigt wurde.
"… er blieb einfach stur auf 120.0.2210.77, hat also sogar nicht mal das Update auf die 120.0.2210.61 installiert, obwohl er dieses laut Log am 16.12.2023 gefunden hatte."
Das war Mist, was ich da schrieb. Das kann so auch gar nicht stimmen. Ich habe mir das doch große Log noch mal genau angeschaut und korrigiere mich wie folgt:
Am 16. 12.2023 fand er das Update von der 120.0.2210.61 auf die 120.0.2210.77 und hat es sogar installiert. Was er nicht installierte, waren die Updates von der 120.0.2210.77 auf die 89 und auf die 91. Allerdings fand er die 120.0.2210.89 laut Log erstmals am 23.12. und da gleichzeitig mit der 120.0.2210.91.
Da die 120.0.2210.89 zeitlich so stark verzögert gefunden wurde, dass es zu dem Zeitpunkt schon die 91 gab, machte sie ja obsolet und es ist klar, dass er die dann gar nicht erst versuchte zu installieren. Das erklärt jedoch nicht, warum er das Update von der 77 auf die 91 nicht über die Aufgabenplanung installierte.
Und was das Installieren des Updates von der 120.0.2210.61 auf die 77 am 16.12. anbelangt, kann es sein, dass ich den Edge da außerhalb der Sandbox gestartet hatte, weil ich nach der Inplace-Installation von Windows die Einstellungen des Edge überprüft und geändert habe. Soweit ich mich erinnere, war dann im Edge nicht mehr alles so konfiguriert (deaktiviert/verboten), wie ich es vor der Windows-Reparatur-Installation eingestellt hatte.
EDGE (stable) ist nun in Version 120.0.2210.121 verfügbar ->
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security#january-5-2024
Wahscheinlich wurden die bereits im CHROMIUM-Code vorhandenen CSV berichtigt/entschärft.