Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Microsoft-Browser Edge für Windows und macOS. Allerdings nur vor älteren Versionen dieses Browsers, die vor der Version 109.0.1518.49 erschienen sind. Edge soll also ab 109.0.1518.49 sicher vor den vom BSI beschriebenen Sicherheitslücken sein. Microsoft hatte diese sichere Edge-Version am 12. Januar 2023 veröffentlicht. Sie finden hier die ausführliche Beschreibung von Microsoft zur neuen, sicheren Edge-Version.
Das BSI erklärt, dass in den älteren Edge-Versionen mehrere Schwachstellen stecken, die ein entfernter, anonymer Angreifer ausnutzen kann, um beliebigen Programmcode auszuführen und um seine Privilegien zu erweitern.
Mit anderen Worten: Über die Ausnutzung dieser Lücken kann ein Angreifer weitreichende Kontrolle auf fremden Rechnern erlangen und dort beispielsweise Daten stehlen. Microsoft betont allerdings, dass ein Angreifer die Lücken nur ausnutzen kann, wenn er es schafft, den Benutzer auf speziell präparierte Webseiten zu locken. Microsoft schreibt:
Ein Angreifer kann eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Ein Angreifer kann Benutzer jedoch keinesfalls zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer einen Benutzer zu Handlungen verleiten. Zu diesem Zweck wird ein Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail- oder Chatnachricht zu klicken oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.
Damit allein ist es aber noch nicht getan, wie Microsoft weiter ausführt: “Der Benutzer muss auf eine speziell gestaltete URL klicken, um vom Angreifer kompromittiert zu werden.” Diese beiden Voraussetzungen gelten für beide Sicherheitslücken.
Die offiziellen Sicherheits-Beschreibungen lauten: CVE-2023-21775 und CVE-2023-21796. Dort erklärt Microsoft genau, wie Angreifer die beiden Lücken ausnutzen können.
So schützen Sie sich
Installieren Sie über Windows Update die neueste Version von Edge. Windows sollte dieses Update automatisch vorschlagen und je nach Konfiguration auch installieren.
Internet, Security