Microsoft Edge zählt bislang zu einem der sichersten Browser für Windows 10, da Prozesse für Tabs getrennt sind, Edge selbst in einer UWP-Sandbox läuft und im System mit sehr niedriger Priorität und wenigen Berechtigungen ausgeführt wird. Die Redmonder haben auf diese Weise bislang sichergestellt, dass der Microsoft Edge-Browser ziemlich gute Sicherheit bot.
Sicherheitsforscher wollen den Microsoft Edge-Browser eigenen Angaben zufolge nun geknackt haben. Als Beweis wurde bislang ein Foto veröffentlicht, wie aus einer Webseite in Microsoft Edge der Rechner geöffnet wurde. In einem Video haben die Hacker zudem gezeigt, wie Edge ferngesteuert Firefox öffnen kann, der daraufhin die Download-Seite von Google Chrome öffnet.
Keine Meldung an Microsoft
Was nach gutem Humor seitens der Entwickler klingt, ist für Microsoft allerdings bitterer Ernst. Problematisch ist vor allem die Tatsache, dass man keine Meldung an Microsoft gemacht hat. Die Entwickler rund um Yushi Liang und Alexander Kochkov planen stattdessen die Microsoft Edge-Sicherheitslücke als Zero-Day-Exploit samt Proof-of-Concept direkt mit der Öffentlichkeit zu teilen.
Der Fehler könnte auf diese Weise direkt von Hackern ausgenutzt werden und da Microsoft der Fehler momentan sehr wahrscheinlich nicht bekannt ist, könnten sämtliche Anwender davon betroffen sein.
Lukratives Geschäft
Die Auszahlung von Microsoft für einen solchen Remote Code Execution-Bug beträgt bis zu 15.000 US-Dollar, was allerdings vergleichsweise wenig ist. Die Sicherheitsforscher von Zerodium, die sich eigenen Angaben zufolge mit der Erforschung frischer Sicherheitslücken beschäftigen, bieten dafür mindestens 50.000 US-Dollar. Die Summe wird verdoppelt, wenn – wie in diesem Fall – eine Sandbox-Escape möglich ist.
Die Entwickler des Exploits wollen allerdings anscheinend kein Geld damit verdienen, sondern den Bug direkt mit der Öffentlichkeit teilen. Momentan arbeitet man eigenen Angaben daran, den Exploit zu stabilisieren. Für Microsoft bedeutet dies, dass der Fehler zumindest aufgedeckt wird und somit irgendwann behoben werden kann. Solange von Microsoft allerdings kein Fix bereitsteht, wird die Lücke womöglich auch von Angreifern ausgenutzt werden.
Quelle: BleepingComputer
Da ist die Bezeichnung Sicherheitsforscher fehl am Platz, solche Leute gehören weggesperrt. Für den eventuell entstehenden Schaden sollten die dann auch vollumfänglich aufkommen müssen.
Also ich hab keine Probleme mit Kommentaren aus der UWA auf Mobile…
Außer dass ich sie nirgends mehr löschen kann, wenn einer doppelt ist oder so…
ein doppeltes Absenden eines Kommentares sollte eigentlich serverseitig unterbunden werden. Für das editieren oder löschen eigener Kommentare bitte im Feedback-Hub abstimmen, dann kann ich das entsprechend priorisieren.
Das mach ich doch glatt … ?
Der Anti-Microsoft- / Anti-Microsoft-Kunden-Mob schlägt wieder zu?
Ich brauchte übrigens mehrere Anläufe, diesen Kommentar zu schreiben.
1. UWA auf Mobile
2. Silverlight-App auf Mobile
3. Edge auf Mobile (keine Anmeldung möglich)
4. UWA auf Desktop
5. Firefox auf Desktop (Zwischenablage aus UWA unzugänglich)
P. S. Ich wurde zudem überall Mal wieder zwangsabgemeldet, das geschieht alle paar Tage.
P. P. S. Die Zwischenablage wurde zwischendurch manipuliert (Artikel-ID statt Text), oder gelöscht oder war nicht mehr abrufbar.
ganz komisch. wir haben mittlerweile mehrere Tests durchgeführt und die UWP funktioniert gut.