Microsoft behebt eine Schwachstelle im Edge-Browser, die zur Installation böswilliger Erweiterungen hätte führen können

Startseite » News

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Pradeep Viswav 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Wichtige Hinweise

  • Sicherheitsforscher von Guardio Labs haben eine Schwachstelle in Microsoft Edge (CVE-2024-21388) entdeckt.
  • Der Fehler hätte es Angreifern ermöglichen können, Browsererweiterungen mit weitreichenden Berechtigungen ohne Zustimmung des Benutzers zu installieren.
Microsoft Edge_header

Microsoft hat einen kritischen Sicherheitspatch für seinen Edge-Browser veröffentlicht, der eine Schwachstelle behebt, die es Angreifern hätte ermöglichen können, ohne Wissen des Benutzers bösartige Erweiterungen zu installieren. Sicherheitsforscher bei Guardio Labs, der den Fehler (mit der Bezeichnung CVE-2024-21388) entdeckte, teilte ihn im November 2023 Microsoft mit, was im Februar 2024 zu einer Lösung führte.

Einzelheiten zur Sicherheitslücke

Die Sicherheitslücke entstand durch eine private API im Edge-Browser, die für die Integration von Marketingfunktionen gedacht war. Angreifer könnten diese API ausnutzen, um den Browser zu zwingen, Erweiterungen aus dem Edge-Add-ons-Store zu installieren, ohne dass eine Benutzerinteraktion oder -genehmigung erforderlich ist.

Guardio Labs stellte technische Details bereit, die darlegten, wie Angreifer eine einfache JavaScript-Injektion nutzen könnten, um diese Schwachstelle auszunutzen. Diese Technik würde es Angreifern ermöglichen, die Kontrolle zu erlangen, selbst wenn ein Benutzer lediglich eine manipulierte Website besucht oder mit einem bösartigen Link interagiert.

Mit dem Exploit verbundene Risiken

Die unbeaufsichtigte Installation von Browsererweiterungen birgt erhebliche Risiken. Schädliche Erweiterungen können so konzipiert sein, dass sie vertrauliche Benutzerdaten wie Anmeldeinformationen und Finanzinformationen herausfiltern. Diese Erweiterungen können auch verwendet werden, um die Surfgewohnheiten der Benutzer auf gezielte Angriffe und mehr zu überwachen.

Microsofts Lösung für diese Sicherheitslücke:

Das Problem wurde von Microsoft behoben, indem überprüft wurde, welche Erweiterungs-ID und welcher Erweiterungstyp an diese API gesendet werden. Dadurch wird die Installation bösartiger Erweiterungen verhindert.

Bitte stellen Sie sicher, dass Sie Ihren Edge-Browser auf Version 121.0.2277.98 und höher aktualisieren, um sich vor der Installation böswilliger Erweiterungen zu schützen.

Pradeep Viswav

Pradeep Viswav Schild

Experte für Software und Services

Pradeep ist Absolvent der Informatik und Ingenieurwissenschaften. Er war außerdem Microsoft Student Partner. Derzeit arbeitet er in einem führenden IT-Unternehmen.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *