Windows 10: Consumer-Versionen bekommen Edge WebView2 Runtime

WindowsKleiner Hinweis, weil es schon in den Kommentaren angemerkt wurde (danke dafür). Microsoft hat in einem Blog-Beitrag Delivering the Microsoft Edge WebView2 Runtime to Windows 10 Consumers angekündigt, dass man die Edge WebView2 Runtime für Windows 10 rückportiert hat und in das Betriebssystem integrieren möchte. Ist eher ein Entwicklerthema – aber ich werfe mal ein paar Informationen in die Debatte. Da darf auch nicht der Hinweis fehlen, dass Apps, die Edge WebView2 verwenden, für Phishing und das Abgreifen von MFA-Anmeldedaten anfällig sind.


Anzeige

Worum geht es?

Edge WebView2 Runtime ist eine Bibliothek, die in Apps genutzt werden kann, um Webinhalte mit Edge-Funktionen anzuzeigen. Konkret: Mit Microsoft Edge WebView2 können Entwickler Webinhalte (HTML, CSS und JavaScript) in Ihre nativen Anwendungen einbetten. In Windows 11 ist die Edge WebView2 Runtime bereits Bestandteil des Betriebssystems. Entwickler, die diese Features in Windows 10-Apps verwenden wollten, mussten die Runtime separat mit der App ausliefern und installieren (siehe diese Microsoft-Seite). Ist aber vor allem ein Entwicklerthema, wenn die Edge WebView2 Runtime von Apps verwendet wird.

Um das Auseinanderlaufen dieser Voraussetzungen für Entwickler zu verhindern, hat Microsoft bekannt gegeben (Delivering the Microsoft Edge WebView2 Runtime to Windows 10 Consumers), dass man diese nun auch in Windows 10 (ab Version 1809) integrieren möchte. Dann sollte das separate Einbinden in Windows 10-Apps entfallen.

Das Ganze kommt vorerst aber nur für Consumer, nicht in verwalteten Unternehmensumgebungen (da evaluiert man noch). Von daher stutze ich über die Rückportierung auf Windows 10 Version 1809, welches dort lange aus dem Support gefallen ist. Nur im IoT-Bereich und LTSC gibt es noch Support.

Auch das noch: Sicherheitsrisiko WebView2-Runtime

Und weil wir gerade so richtig lustig am Entwicklerfeuer sitzen und uns über die tollen Innovationen von Microsoft freuen, kippe ich mal den Link auf den Beitrag Clever phishing method bypasses MFA using Microsoft WebView2 apps der Kollegen von Bleeping Computer hier in die Debatte rein. Ist mir die Tage untergekommen, ohne dann ich dies hier im Blog thematisiert hätte.

Inzwischen sind gestohlene Anmeldedaten für Onlinekonten ja bei Cyberkriminellen sehr begehrt. Durch die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) ist es jedoch schwierig geworden, diese gestohlenen Anmeldedaten zu verwenden, es sei denn, der Angreifer hat auch Zugriff auf die MFA-Passwörter oder Sicherheitsschlüssel des Ziels.

Die Kollegen berichten im verlinkten Beitrag, dass eine raffinierte, neue Phishing-Technik von Angreifern in Microsoft Edge WebView2-Anwendungen genutzt wird, um die Authentifizierungs-Cookies der Opfer zu stehlen. Damit können Bedrohungsakteure die Multi-Faktor-Authentifizierung bei der Anmeldung bei gestohlenen Konten umgehen. Die Details lassen sich im verlinkten Beitrag der Kollegen nachlesen.

Ich weiß, ich bin jetzt wieder Spielverderber im "alles ist toll Spiel", aber steinigt mich nicht, ich bin nur der Überbringer der schlechten Botschaft. Ist aktuell auch noch kein Real World-Szenario, aber sobald etwas bekannt ist, wird das irgendwann ausgenutzt werden. Und ich möchte nicht wissen, wie viele App-Nutzer dann auf eine vermeintlich aufpoppende Anmeldeseite Microsofts reagieren und ihre Anmeldedaten eintippen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows 10 abgelegt und mit Edge, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Windows 10: Consumer-Versionen bekommen Edge WebView2 Runtime

    • Günter Born sagt:

      Stephan, danke für die Links – war an mir vorbei gegangen. Aber jetzt haben wir das Ganze ja abgerundet und jeder Leser kann sich seine eigene Meinung BILDen ;-). Ich habe da immer ein ganz schlechtes Gewissen, wenn ich "Wasser in den Wein" gießen muss …

      • Stephan sagt:

        Sowas ist auch immer im gutem Sinn als Ergänzung gemeint. Die Information, daß es jetzt in Windows 10 ausgerollt wird, ist ja trotzdem korrekt und hilfreich.

        Noch eine Ergänzung: Teams 2 soll ja auch auf Edge WebView (statt Electron, also eigener Kopie von Chromium) basieren. Das wurde schon für Ewigkeiten angekündigt und immer verschoben. Vielleicht kommt das dann jetzt endlich? Das soll deutlich performanter und weniger ressourcenhungrig sein.

      • Ralf S. sagt:

        "Ich habe da immer ein ganz schlechtes Gewissen, wenn ich "Wasser in den Wein" gießen muss …"

        Brauchen Sie nicht!
        Bei uns gibt es ja (noch) keine 175 Jahre Haft (und auch keine Todesstrafe mehr …) für kritischen Enthüllungsjournalismus …
        (Dieser Fall zeigt im Übrigen einmal mehr, dass die "freie Berichterstattung" in angeblich "freien Ländern" eben doch nicht so ganz frei zu sein scheint … – sogar dann nicht, wenn es sich um unethisches Material diverser Regierungen handelt.)

  1. Robert Glöckner sagt:

    wenn ich das richtig verstanden habe, haben bestehende Programme, die Webview2 verwenden kein Problem. Es ist aber möglich das Webview2 so anzuprogrammieren, dass böse Dinge passieren können und kein Virenscanner das mitbekommt.

    gut, fremde Software hat immer ein gewisses Risiko und kann ja auch mit anderen Tricks arbeiten.

    • Stephan sagt:

      Ein Angreifer kann auch in ein legitimes WebView einer legitimen Anwendung ein Cross-Site-Scripting einbringen oder sowas.
      Aber in dem Artikel geht es nichtmal um Web-Schwachstellen, sondern darum, daß die Session-Cookies irgendwo im Dateisystem ungeschützt herumliegen.

  2. Cornelia sagt:

    Das gibt einem schon zu denken.
    Mir war allerdings schon lange klar, dass smarte Entwickler irgendwelche Möglichkeiten finden werden, um an die MFA-Daten zu gelangen. Das Beispiel zeigt jetzt eine Möglichkeit. Ich bin aber überzeugt davon, dass es in absehbarer Zeit weitere geben wird, welche ev. gar keine Benutzerinteraktion erfordern werden.

  3. Bernie sagt:

    Nicht nur für Apps aus dem MS-Store, sondern auch für klassische Desktop-Anwendungen wird eine Installation der Edge WebView2 Runtime mittlerweile vorausgesetzt.

    In unsere Umgebung u. a.:
    – Citrix Workspace
    – AutoCAD 2023
    – PDF24 Creator ab Version 11

    Wir mussten daher in den sauren Apfel beißen und haben daher die Edge WebView2 Runtime in unser Deployment integriert, d. h. auf neu aufgesetzen PCs wird diese nun automatisch installiert bzw. verteilt.

    Dabei greifen wir auf den Evergreen-Installer x64 (offline) zurück, nähere Infos siehe:
    https://docs.microsoft.com/de-de/microsoft-edge/webview2/concepts/distribution

    Parameter für die Installation:
    MicrosoftEdgeWebView2RuntimeInstallerX86.exe /silent /install

    Parameter für die Deinstallation:
    "%ProgramFiles(x86)%\Microsoft\EdgeWebView\Application\%Version%\Installer\setup.exe" –uninstall –msedgewebview –system-level –force-uninstall

    Updates werden über den WSUS verteilt.

    Ansonsten:
    @Microsoft
    Es gibt eine einfache Regel (gilt übrigens auch für den Edge):
    Installationsort für 64-Bit-Programme = %ProgramFiles%
    Installationsort für 32-Bit-Programme = %ProgramFiles (x86)%
    Aber macht nichts…

    • Martin Feuerstein sagt:

      Cisco WebEx braucht seit Juni auch WebView 2. Lässt sich aber seit ca. der April-Version nicht mehr als MSI per Gruppenrichtlinien oder im Systemkontext (Hochfahrskript) verteilen.

  4. Michael Heinrich sagt:

    Generell finde ich es sehr gut das WebView 2 in Windows integriert wird wenn dann auch Sicherheitspatches darüber kommen.

    Wie auch Bernie habe ich auch WebView in der Evergreen Version paketiert da die SAP-GUI auch ohne kommt.

    Andere Hersteller wie Matrix42 oder Citrix schaffen es auch den Viewer mitzugeben.
    Wenn sich alle Softwareentwickler das auch gleich so machen wäre es ja auch in Ordnung.
    Dann sind wir jedoch ähnlich wie bei Java oder anderen Runtimes an einem Punkt das bei genauer Betrachtung ein totales Runtime-Chaos im Hintergrund stattfindet.

    Somit wieder auf „Start" zurück und eine solch zentrale Komponente im Betriebsystem mitgeben.

    • Bernie sagt:

      Die Sache mit dem "Runtime-Chaos" kann ich bestätigen und das ist (auch aus Sicherheitsgründen) ärgerlich.
      Wünschenswert bzw. optimal wäre es, wenn die Installer erkennen, dass eine aktuelle Runtime auf dem System bereits installiert ist und das Programm dann auch auf diese Version zurückgreift.
      Z. B. PDF24 Creator:
      Der Installer ignoriert eine bereits auf dem System installierte WebView2 Runtime in der aktuellen Version und installiert eine ältere Version unter "C:\Program Files\PDF24\WebView2\".
      Starte ich den PDF24 Creator, so laüft der Prozess "msedgewebview2.exe" unter "C:\Program Files\PDF24\WebView2\".
      Lösche ich den Ordner WebView2 unter C:\Program Files\PDF24 und starte ich dann das Programm erneut, so laüft der Prozess "msedgewebview2.exe" unter "C:\Program Files (x86)\Microsoft\EdgeWebView\Application\%Version%".
      Probleme mit der Anwendung treten dabei nicht auf.
      Auch bereits installierte aktuelle Versionen der Microsoft Visual Runtime (z. B. Microsoft Visual C++ 2013 Redistributables) werden von vielen Installern ignoriert und ältere Versionen werden parallel installiert.
      Mit den Microsoft Visual C++ 2015-2022 Redistributables hat MS dem aber zum Glück einen Riegel vorgeschoben bzw. kann eine ältere Version nicht mehr parallel installiert werden, wenn eine neuere Version bereits installiert ist.
      Die Java-Runtimes (am schlimmsten…) lasse ich hier mal außen vor.

      • Martin Feuerstein sagt:

        "Mit den Microsoft Visual C++ 2015-2022 Redistributables hat MS dem aber zum Glück einen Riegel vorgeschoben bzw. kann eine ältere Version nicht mehr parallel installiert werden, wenn eine neuere Version bereits installiert ist."

        … was dazu führt, dass z. B. NSIS-Installer den zurückgegebenen Errorlevel vom VC++-Installer direkt in einen Abbruch der Installation des eigentlich zu installierenden Programms verwandeln. Also entweder vorher die neueren VC++-Runtimes deinstallieren oder irgendwelche Registry-Hacks.

        • Stefan Kanthak sagt:

          "… was dazu führt, dass z. B. NSIS-Installer … Abbruch der Installation …"
          UDIAGS!
          Das ist das BESTE, was UNSICHERER SCHROTT wie NSIS bzw. die mit diesem verbrochenen Installations-Programme(IGITT!) tun kann.
          MSI existiert seit dem letzten JAHRTAUSEND.
          Und NEIN, ebenso UNSICHERER SCHROTT wie WiX, InnoSetup oder … ist auch keine Lösung.
          Kurz: nur ahnungslose oder unfähige Frickler und Frickelbuden verbrechen ausführbare Installer.

          • Martin Feuerstein sagt:

            Das geht an meiner Kritik gaaanz weit vorbei, da ich nicht die verschiedenen Installer an sich kritisiere, sondern nur, dass der Microsoft'sche Installer von den VC++ Runtimes mit Fehler quittiert, statt einfach zu melden "bin doch schon installiert", Error 0 und gut.
            Btw. was bei WiX rauskommt ist auch nur ein MSI (wenn kein Bootstrapper erstellt wird).

            Und nebenbei, wie so oft… weniger Aufregung ist wohltuend für deinen Puls und deine Gesundheit ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.