Kurz informiert: Gestern hat Microsoft ein Update für den Microsoft Edge im Stable Kanal für Linux, macOS und Android bereitgestellt. Durch die neue Version 112.0.1722.54 wurde die Chromium-Sicherheitslücke CVE-2023-2136, die in der freien Wildbahn aufgetaucht ist, geschlossen.
Diese Sicherheitslücke wurde auch schon im Google Chrome geschlossen. Die Desktop-Version vom Microsoft Edge bleibt weiterhin bei der Version 112.0.1722.48.
So wie es aussieht, handelt es sich bei den anderen Sicherheitslücken im Google Chrome, um Lücken in den Chrome-Diensten, die im Microsoft Edge nicht integriert sind. [Update 22.04.]: Microsoft hat die Lücke und vier weitere in einem anderen Update korrigiert. Siehe hier.
Quelle: learn.microsoft
Microsoft Edge 112.0.1722.54 korrigiert die Sicherheitslücke CVE-2023-2136
Warum das bisher noch nicht auf Windows gefixt wurde, ist mir schleierhaft. Brave hat das Update schon.
Vielleicht mal den letzten Satz lesen und eine Minute drüber nachdenken, könnte den Schleier lüften.
Krass wenn das wirklich „nur“ eine Lücke in einem Dienst ist, den man eigentlich gar nicht braucht. Wäre das Ding komplett de-bloatet auf „nur ein Browser“ wäre es einfach besser. Edge ist da schon ein Schritt darauf hin, aber MS baut ja auch mit der neuen Adobe-PDF-Engine wieder neue Angriffsfläche ein.
Wenn man da sachlich drüber reden kann wäre es besser wie früher unter Linux mit KISS:
https://de.wikipedia.org/wiki/KISS-Prinzip
Einfach ein separates Programm für alles statt die eierlegende Wollmilchsau.
Ja, Jörn, das wäre doch mal eine Idee. Da steht nämlich: „bei den anderen Sicherheitslücken“.
Meine Frage stellt sich also weiterhin.
Hauptsache provokant kommentiert Oh MANN
Die Frage könnte wohl nur Microsoft beantworten oder jemand, welcher sich genau mit dem Edge unter Windows auskennt. Die Sicherheitslücke betrifft da wohl nur die Skia Graphics Engine. Und ich habe da auch keine Ahnung, ob der Edge unter Windows Skia verwendet oder nicht. Vielleicht kann das ja jemand anderes beatworten.
Wenn eine Minute nicht reicht, gerne auch fünf.
Da braucht ein Joern wirklich mehr als eine Minute? Oh Mann…
Na gut, für Joern nochmal gaaaaaanz langsam:
Die Sicherheitslücke „CVE-2023-2136“, welche sich in allen Chromium-basierten Webbrowsern befand, wurde im Microsoft Edge unter Linux, MacOS und Android gefixt. Unter Windows noch nicht. Andere Chromium-basierte Webbrowser, wie Brave, haben die Lücke auch unter Windows gefixt. Das indiziert, dass sie auch unter Windows relevant ist.
Soweit klar?
Die ANDEREN Änderungen, die unter Google Chrome ZUSÄTZLICH noch behoben wurden, müssen selbstverständlich NICHT im Microsoft Edge behoben werden, da DIESE nur Chrome-Dienste betreffen, welche nicht im Edge aktiviert sind. Von denen rede ich aber nicht, sondern von der „CVE-2023-2136“.
Nochmal:
Hier geht es einmal um die Sicherheitslücke „CVE-2023-2136“ und zum ANDEREN um völlig andere, Chrome-Dienste betreffende Änderungen, um die es mir nie ging. Es ging mir um die „CVE-2023-2136“. NICHT um die Chrome-Dienste und deren Änderungen.
Ist der Groschen denn nun endlich gefallen, oder soll ich Wachsmalkreide holen und es aufmalen???
Betrifft bis dato „nur“ macOS Universal, Linux und Android.
Evtl. wird Vwesion 112.0.1722.54 in der Nacht zum Freitag auch für Windows veröffentlicht werden.
bestimmt, mittlerweile wurde bei mir auch der Freitag zum EdgeTag bei den Windows Clients/Servern.
Microsoft Edge 112.0.1722.58 Stable
x86
https://go.microsoft.com/fwlink/?LinkID=2093505
x64
https://go.microsoft.com/fwlink/?LinkID=2093437