Webbrowser: Microsoft Edge-Update schließt hochriskante Lücken


Gegen Ende vergangener Woche hat Microsoft den Webbrowser Edge aktualisiert. Neben den Sicherheitslücken, die Google kurz zuvor im zugrundeliegenden Chromium-Projekt geschlossen hat, fanden sich weitere hochriskante Schwachstellen im Microsoft-Browser.

Microsoft weist in den Release-Notes zum Edge-Webbrowser darauf hin, dass die neue stabile Version 109.0.1518.49 die aktuellen Sicherheitsaktualisierungen aus Chromium enthalte. Jedoch schließe die Fassung zwei weitere Lücken.

Bei der einen Schwachstelle handelt es sich um einen Fehler, durch den Angreifer aus dem Netz potenziellen Opfern Schadcode unterschieben können, eine sogenannte Remote Code Execution. Details nennt Microsoft in der Sicherheitsmeldung nicht, jedoch steht offenbar Proof-of-Concept-Code bereit, der das Ausnutzen der Lücke demonstriert (CVE-2023-21775, CVSS 8.3, Risiko „hoch„). Die zweite Sicherheitslücke ermöglicht bösartigen Akteuren das Ausweiten der eigenen Rechte im System, erläutert Microsoft in der zugehörigen Sicherheitsnotiz (CVE-2023-21796, CVSS 8.3, hoch).

Ob die Lücken bereits aktiv angegriffen werden, erläutert der Hersteller nicht. Der Proof-of-Concept-Code für die Remote-Code-Execution-Lücke scheint laut den Details nicht unter allen Bedingungen zu funktionieren und bedürfe noch substanzieller Modifikationen durch einen begabten Angreifer, schreibt Microsoft jedoch.

Edge-Nutzende können durch das Aufrufen von Windows Update sicherstellen, dass die jüngsten Aktualisierungen auf dem System heruntergeladen und installiert werden. Aufgrund des Schweregrads der Lücken sollte die Prüfung zügig erfolgen. Im Chromium-basierten Webbrowser Chrome hatte Google vergangene Woche 17 Sicherheitslücken gestopft, darunter auch diverse mit hohem Risiko – auch diese dichtet das Update ab.


(dmk)

Zur Startseite



Heinz Duthel

Schreibe einen Kommentar