Notfall-Update: Microsoft behebt riskante Sicherheitslücke in Edge
Google hat die Lücke im jüngsten Chrome-Update gepatcht, es gibt Hinweise auf aktive Exploits. Daher zieht Redmond nun nach.
(Bild: Microsoft / Montage heise online)
Microsoft stellt außerhalb der gewohnten, monatlichen Patchday-Routine ein Update bereit, das kritische Sicherheitslücken im Windows-Browser Edge schließt. Der Grund für die Eile: Eine dieser Lücken (CVE-2024-7971, Risiko hoch) wird bereits aktiv ausgenutzt.
Google hatte sie in Chrome bereits mit einem Update am Mittwoch behoben; Microsoft zieht mit seinem Chrome-basierten Edge jetzt nach. Überdies beseitigt Microsofts Edge-Update auch gleich noch fünf weitere Schwachstellen.
Gemäß der Credits in Googles Update-Ankündigung haben Microsofts Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) die Lücke und die bereits stattfindenden Angriffe am Montag, dem 19. August, gemeldet. Trotzdem stellt Microsoft keinerlei weiterführende Informationen bereit, wer angegriffen wird oder wie man solche bereits erfolgten Angriffe entdecken könnte. Das ist ein Problem, weil darüber installierte Hintertüren oder andere Schadsoftware durch das Installieren des Patches nicht beseitigt werden.
Auch ohne diese Detailinformationen sollten alle Windows-Nutzer das Edge-Update natürlich schnellstmöglich installieren.
Microsoft hat auch die macOS-Version von Edge auf Version 128.0.2739.42 gebracht, genauso wie die Linux-Variante. Diese sollte man ebenfalls zeitnah installieren.
Auf mehreren PCs in der Redaktion von heise online wurde auch am Samstag, den 24. August 2024, das Update nicht automatisch oder durch das manuelle Aufrufen von Windows Update installiert, nur der Weg über den Browser selbst war erfolgreich.
Um den Patch einzuspielen, ist bei Edge im Menüpunkt "Hilfe und Feedback" der Punkt "Infos zu Microsoft Edge" anzuwählen. Dort wird dann das Update automatisch geladen und die aktuelle Release-Nummer angezeigt. Im Mobilfunknetz ist gegebenenfalls die Option "Updates über getaktete Verbindungen herunterladen" zu aktivieren. Danach sollte dann als Release Version 128.0.2739.42 oder neuer sowie die Meldung "Microsoft Edge ist auf dem neuesten Stand" erscheinen.
(ju)
