Microsoft Edge zählt bislang zu einem der sichersten Browser für Windows 10, da Prozesse für Tabs getrennt sind, Edge selbst in einer UWP-Sandbox läuft und im System mit sehr niedriger Priorität und wenigen Berechtigungen ausgeführt wird. Die Redmonder haben auf diese Weise bislang sichergestellt, dass der Microsoft Edge-Browser ziemlich gute Sicherheit bot.
Sicherheitsforscher wollen den Microsoft Edge-Browser eigenen Angaben zufolge nun geknackt haben. Als Beweis wurde bislang ein Foto veröffentlicht, wie aus einer Webseite in Microsoft Edge der Rechner geöffnet wurde. In einem Video haben die Hacker zudem gezeigt, wie Edge ferngesteuert Firefox öffnen kann, der daraufhin die Download-Seite von Google Chrome öffnet.
Keine Meldung an Microsoft
Was nach gutem Humor seitens der Entwickler klingt, ist für Microsoft allerdings bitterer Ernst. Problematisch ist vor allem die Tatsache, dass man keine Meldung an Microsoft gemacht hat. Die Entwickler rund um Yushi Liang und Alexander Kochkov planen stattdessen die Microsoft Edge-Sicherheitslücke als Zero-Day-Exploit samt Proof-of-Concept direkt mit der Öffentlichkeit zu teilen.
Der Fehler könnte auf diese Weise direkt von Hackern ausgenutzt werden und da Microsoft der Fehler momentan sehr wahrscheinlich nicht bekannt ist, könnten sämtliche Anwender davon betroffen sein.
Lukratives Geschäft
Die Auszahlung von Microsoft für einen solchen Remote Code Execution-Bug beträgt bis zu 15.000 US-Dollar, was allerdings vergleichsweise wenig ist. Die Sicherheitsforscher von Zerodium, die sich eigenen Angaben zufolge mit der Erforschung frischer Sicherheitslücken beschäftigen, bieten dafür mindestens 50.000 US-Dollar. Die Summe wird verdoppelt, wenn – wie in diesem Fall – eine Sandbox-Escape möglich ist.
Die Entwickler des Exploits wollen allerdings anscheinend kein Geld damit verdienen, sondern den Bug direkt mit der Öffentlichkeit teilen. Momentan arbeitet man eigenen Angaben daran, den Exploit zu stabilisieren. Für Microsoft bedeutet dies, dass der Fehler zumindest aufgedeckt wird und somit irgendwann behoben werden kann. Solange von Microsoft allerdings kein Fix bereitsteht, wird die Lücke womöglich auch von Angreifern ausgenutzt werden.
Quelle: BleepingComputer
