Sicherheitslücke in Microsoft Edge ermöglicht Codeschmuggel
Verleitet ein Angreifer sein Opfer zum Öffnen einer präparierten Datei, kann er eigenen Code in Microsofts Browser ausführen. Edge 120 schafft Abhilfe.
Microsoft hat eine neue Version des Edge-Browsers mit Versionsnummer 120 veröffentlicht, der neben vom Chromium geerbten Bugs auch mehrere Edge-spezifische Sicherheitslücken behebt. Die schwerste der Lücken erlaubte Angreifern, eigenen Code einzuschmuggeln.
Der Fehler mit der CVE-ID CVE-2023-35618 (CVSSv3.1: 9.6) – von einem anonymen Sicherheitsforscher an Microsoft gemeldet – kann Ausbruch aus der Browser-Sandbox und Codeausführung ermöglichen, wenn Angreifer ihr Opfer etwa mittels Phishing auf eine speziell präparierte Webseite lotsen. Damit ist es jedoch nicht getan – das Opfer muss zudem auf dieser Webseite noch eine Datei öffnen. Welche, darüber schweigt sich der Microsoft-Sicherheitshinweis aus.
Auf den ersten Blick irritiert die Einstufung des Schweregrads. Während das CVSS-Punktesystem die Sicherheitslücke als "kritisch" einstuft, geht Microsoft eigene Wege und stuft die Lücke auf ein nur mittleres Risiko herab. Wie die Redmonder auf ihrer Bug-Bounty-Seite zu Edge erläutern, müsse ein Sicherheitsleck mit einem oder weniger Klicks, Tastendrucken oder anderen Vorbedingungen ausnutzbar sein, um als kritisch gelten zu können ("If a bug requires more than a click, a key press, or several preconditions, the severity will be downgraded.").
Für den meldenden Anonymous bedeutet diese Herabstufung nicht zuletzt einen finanziellen Nachteil. Während Microsoft für einen gut aufbereiteten Sandbox-Ausbruch kritischen Schweregrads 30.000 US-Dollar Belohnung in die Hand nimmt, sechstelt sich der Betrag im Falle einer Herabstufung.
Eher unter "ferner liefen" rangieren die Sicherheitslücken CVE-2023-36880 und CVE-2023-38174. Bei beiden Bugs handelt es sich um Informationslecks mit niedrigem Schweregrad und 4.8 respektive 4.3 CVSS-Punkten.
Telemetrie stillschweigend aufgebohrt
Um die drei Edge-Lücken und fünf weitere Sicherheitsprobleme zu beheben, die sich der Microsoft-Browser über Code des Chromium-Projekts zugezogen hat, hat Microsoft Version 120.0.2210.61 des Browsers herausgegeben.
Etwas versteckt in den Versionshinweisen findet sich die leicht kryptische Policy-Änderung "Edge 3P SERP Telemetry Enabled". Mit dieser Konfigurationseinstellung genehmigt sich Microsoft, Suchverläufe an externe Stellen weiterzuleiten. Nutzer und Systemverwalter müssen die Einstellung explizit wieder deaktivieren – ansonsten bleibt sie standardmäßig aktiv.
In Kürze möchte Microsoft seinen Browser auch mit dem hauseigenen KI-Produkt CoPilot verheiraten, hat diesen Schritt jedoch anders als die obengenannte Telemetrie-Änderung öffentlichkeitswirksam angekündigt. (cku)
