Sicherheitsforscher zeigen offene Microsoft Edge Sicherheitslücke auf

7

Microsoft Edge zählt bislang zu einem der sichersten Browser für Windows 10, da Prozesse für Tabs getrennt sind, Edge selbst in einer UWP-Sandbox läuft und im System mit sehr niedriger Priorität und wenigen Berechtigungen ausgeführt wird. Die Redmonder haben auf diese Weise bislang sichergestellt, dass der Microsoft Edge-Browser ziemlich gute Sicherheit bot.

Sicherheitsforscher wollen den Microsoft Edge-Browser eigenen Angaben zufolge nun geknackt haben. Als Beweis wurde bislang ein Foto veröffentlicht, wie aus einer Webseite in Microsoft Edge der Rechner geöffnet wurde. In einem Video haben die Hacker zudem gezeigt, wie Edge ferngesteuert Firefox öffnen kann, der daraufhin die Download-Seite von Google Chrome öffnet.

Keine Meldung an Microsoft

Was nach gutem Humor seitens der Entwickler klingt, ist für Microsoft allerdings bitterer Ernst. Problematisch ist vor allem die Tatsache, dass man keine Meldung an Microsoft gemacht hat. Die Entwickler rund um Yushi Liang und Alexander Kochkov planen stattdessen die Microsoft Edge-Sicherheitslücke als Zero-Day-Exploit samt Proof-of-Concept direkt mit der Öffentlichkeit zu teilen.

Der Fehler könnte auf diese Weise direkt von Hackern ausgenutzt werden und da Microsoft der Fehler momentan sehr wahrscheinlich nicht bekannt ist, könnten sämtliche Anwender davon betroffen sein.

Lukratives Geschäft

Die Auszahlung von Microsoft für einen solchen Remote Code Execution-Bug beträgt bis zu 15.000 US-Dollar, was allerdings vergleichsweise wenig ist. Die Sicherheitsforscher von Zerodium, die sich eigenen Angaben zufolge mit der Erforschung frischer Sicherheitslücken beschäftigen, bieten dafür mindestens 50.000 US-Dollar. Die Summe wird verdoppelt, wenn – wie in diesem Fall – eine Sandbox-Escape möglich ist.

Die Entwickler des Exploits wollen allerdings anscheinend kein Geld damit verdienen, sondern den Bug direkt mit der Öffentlichkeit teilen. Momentan arbeitet man eigenen Angaben daran, den Exploit zu stabilisieren. Für Microsoft bedeutet dies, dass der Fehler zumindest aufgedeckt wird und somit irgendwann behoben werden kann. Solange von Microsoft allerdings kein Fix bereitsteht, wird die Lücke womöglich auch von Angreifern ausgenutzt werden.


Quelle: BleepingComputer

Über den Autor

21 Jahre alt, Redakteur bei WindowsArea.de, Windows Insider MVP.

7
Hinterlasse einen Kommentar

Please Login to comment
3 Comment threads
4 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
5 Comment authors
pakebuschrstefiroAlbert JelicaThomas PentenriederKissi Recent comment authors
  Subscribe  
neuste älteste beste Bewertung
Benachrichtige mich zu:
pakebuschr
Mitglied
pakebuschr

Da ist die Bezeichnung Sicherheitsforscher fehl am Platz, solche Leute gehören weggesperrt. Für den eventuell entstehenden Schaden sollten die dann auch vollumfänglich aufkommen müssen.

stefiro
Mitglied
stefiro

Also ich hab keine Probleme mit Kommentaren aus der UWA auf Mobile…

stefiro
Mitglied
stefiro

Außer dass ich sie nirgends mehr löschen kann, wenn einer doppelt ist oder so…

Thomas Pentenrieder
Webmaster

ein doppeltes Absenden eines Kommentares sollte eigentlich serverseitig unterbunden werden. Für das editieren oder löschen eigener Kommentare bitte im Feedback-Hub abstimmen, dann kann ich das entsprechend priorisieren.

stefiro
Mitglied
stefiro

Das mach ich doch glatt … 😁

Kissi
Mitglied
Kissi

Der Anti-Microsoft- / Anti-Microsoft-Kunden-Mob schlägt wieder zu?

Ich brauchte übrigens mehrere Anläufe, diesen Kommentar zu schreiben.

1. UWA auf Mobile
2. Silverlight-App auf Mobile
3. Edge auf Mobile (keine Anmeldung möglich)
4. UWA auf Desktop
5. Firefox auf Desktop (Zwischenablage aus UWA unzugänglich)

P. S. Ich wurde zudem überall Mal wieder zwangsabgemeldet, das geschieht alle paar Tage.
P. P. S. Die Zwischenablage wurde zwischendurch manipuliert (Artikel-ID statt Text), oder gelöscht oder war nicht mehr abrufbar.