[English]Microsoft hat zum 6.6.2025 ein Update für den Edge-Browser veröffentlicht. Dieses hebt den Edge im Stable Channel auf Version 137.0.3296.68 und beinhaltet Fehlerbehebungen sowie Beseitigung von Leistungsproblemen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Bernie schreib folgenden Kommentar im Diskussionsbereich, den ich jetzt mal rüber ziehe:
2. Edge Notfall Patch 137.0.3296.68 Microsoft Update Catalog
Unbedingt kontrollieren ob auch wirklich alles als 137.0.3296.68 installiert wurde.
C:\Program Files (x86)\Microsoft …
Edge
EdgeCore
EdgeWebView\Application
und nur als 137.0.3296.68 bzw. zusätzlich keine alten Versionen vorhanden sind. Falls doch, nach dem Update neu starten und alte Versionen per Hand löschen!
Oder auch immer über diese Links Update per Hand möglich
Microsoft Edge WebView2
Download and deploy Microsoft Edge for Business
Microsoft Defender Updates
MVP: 2013 – 2016
Ich bin mit meiner Vorgehensweise ganz zufrieden, dass ich den Edge nur nach Bedarf manuell in den WSUS einpflege; und das auch nur einmal im Monat, dann, wenn ich die Updates für den Monat freigebe. Und wenn »mein Gespür« mich warnt, mal lieber eine Version auszusetzen (bspw. weil relativ viele Änderungen mit der neuen Hauptrevision einhergehen, die fehleranfällig sein könnten), dann mache ich das. Ein weiterer Grund kann auch sein, dass bis zur Updatefreigabe hin am laufenden Band eine neue Version innerhalb der Hauptrevision veröffentlicht wurde.
So bin ich bislang ganz gut zurechtgekommen.
Ist halt ein Notfall und das sollte man nicht auf die leichte Schulter nehmen. Für etwas mehr Stabilität gibt es ja den Kanal extended stable der nur die geraden Versionen bedient. Leider gilt das nicht für das Webview, aber das brauchen nicht alle Systeme
Der Webbrowswer ist die naheliegendste Komponente, über die ein Angreifer von "draußen", also außerhalb des (Unternehmens-)Netzwerkes Schadcode auf die internen Systeme reinschmuggeln kann, schädliche Webseiten/Werbeeinblendungen, Phishing, usw. Und dann auch noch Edge, den Microsoft in Windows und allen möglichen eigenen Anwendungen nutzt, um innerhalb aller Anwendungen HTML-Code rendern zu lassen. Da kannst du deine Umgebung absichern wie du willst, bis eine Sicherheitslücke durch ein Update oder sonstige Gegenmaßnahme ("Mitigation") geschlossen wird, ist das ein potentieller Zeroday.
Für mich hat daher JEDES Browser-Sicherheitsupdate, für alle bei uns im Netz freigegeben Brwoser, mindestens zweithöchste Prio, auch wenn es laut Nist, NVD z.B. einen nur mittleren CVSS Schweregrad hat. Manchmal werden solche Einstufungen nämlich auch noch nachträglich hochgestuft, oder ein Angreifer finded auf Basis dieser Schwachstelle noch was Kreatives, oder kombiniert das mit noch einer anderen ihm bekannten Lücke. Bei ausgenutzen Zerodays sogar allerhöchste Prio, alles andere stehen und liegen lassen und Update verteilen. Mailclients (Outlook) würde ich auch so behandeln, aber da kommen die Sicherheitsupdates normalerweise tatsächlich nur am Patchday.
Der Vorgehensweise stimme ich zu.
Und betreibe diese auch konsequent, nehme Probleme mit in Kauf.
Einen Tod muss man sterben.
Lieber geht mal eine interne Webseite nicht (das kann man meistens schnell korrigieren) als wie das man auf dem Weg gehackt wird. Das mal was angepasst werden muss, passiert aber seit Jahren nur noch sehr selten. Früher zu IE-Zeiten war das allerdings noch anders, da gab es intern so Drecks-Seiten, die teils nur mit bestimmten IE-Versionen gingen, und "wichtig" waren, aber die Zeiten sind zum Glück vorbei.
Erstaunlicherweise sind bei mir WebView2 und Edge jeweils als v137.0.3296.68 bereits im Ordner c:\Program Files (x86) eingetragen, mit heutigem Datum 7.6.2025 um 11:13 Uhr.
In der Systemsteuerung hatte ich auch immer Updates als "angehalten" eingestellt, regelmäßig das Datum weiter nach hinten geschoben und es steht aktuell auf 24.Juni. Es hätte also gar kein Update installiert werden dürfen.
Im Updateverlauf ist auch kein aktuelles Update eingetragen, weil ich die monatlichen Rollups immer manuell per dism installiere.
Lediglich die Defender-Defintionsupdates sind dort für heute eingetragen.
Wie also kommen der aktuelle Edge und das aktuelle WebView2 automatisch und ungefragt auf das System und warum wird das nicht im Updateverlauf geloggt?
Wie kann man diese heimlichen Installationen sperren?
Ich möchte gerne die Kontrolle über das System zurück haben.
Welche GPO regelt das oder welchen Trick gibt es sonst noch?
Im Gruppenrichtlinieneditor unter "Microsoft Edge" finde ich keine pasende Regel.
Die GPO bei Windows-Updates "Automatische Updates sofort installieren" hatte ich deaktiviert.
Offenbar funktioniert das nicht.
Das kommt auf die Edge Variante an. Enterprise nehmen und dazu gibt es eigene Richtlinien zu Download. Dort lässt sich dann detailliert einstellen ob Edge sich selbst aktualisiert oder nur mit Wsus oder gar nicht
In den Gruppenrichtlinien unter
Computerkonfiguration
-Richtlinien
–Administrative Vorlagen
—Microsoft Edge-Update
—-Anwendungen
—–Microsoft Edge ..
—–Microsoft Beta …
—–Microsoft Canary …
—–Microsoft Dev …
—-Microsoft Edge WebView …
befinden sich die Einstellungen.
Edge und WebView prüfen bei jedem Start ob es Updates gibt. Schaltet man dies über die Gruppenrichtlinie aus, kann man danach aber auch manuell im Edge (Hilfe Feedback > Infos…) keine Update mehr installieren. Entweder muss die Richtlinie temporär ausgeschaltet werden oder die Update müssen aus dem Update-Catalog geladen und von Hand installiert werden.
Damit solltest Du wieder die Kontrolle über diese Updates zurück erhalten.
Ergänzung:
Link zur Download-Seite von Edge:
https://www.microsoft.com/de-de/edge/business/download?form=MA13FJ
Unterhalb der "Herunterladen"-Box zur jeweiligen Version liegt der Link zum herunterladen der Richtliniendatei.
Bei mir befinden sich die "–Administrative Vorlagen"
direkt unter "Computerkonfiguration" und nicht unter "-Richtlinien".
"-Richtlinien" habe ich gar nicht, deswegen auch gar keine Einstellungen unter "Richtlinien":
—-Anwendungen
—–Microsoft Edge ..
—–Microsoft Beta …
—–Microsoft Canary …
—–Microsoft Dev …
—-Microsoft Edge WebView …
"Microsoft Edge" steht bei mir unter "Windows-Komponenten", genauso we dort auch "Windows-Update" steht.
Muss man spezielle Administrative Vorlagen installieren oder liegt das an einem unterschiedlichen Gruppenrichtlinieneditor (hier Client statt Domänencontroller)?
Ich hatte bereitzs die "Administrative Templates (.admx) for Windows 10 November 2021 Update (21H2) – v2.0" installiert.
Windows 10 IoT Enterprise LTSC 2021 v21H2
Ja, auf non-joined Clients sind die Richtlinen ein bisschen anders strukturiert, als im AD.
Edit…
hat sich erledigt…
Download der Richtlinie funktioniert jetzt.
Die Installation der cab funktioniert noch nicht.
Ich habe das versucht:
Dism.exe /online /add-package /PackagePath:e:\MicrosoftEdgePolicyTemplates.cab
Manuelles Auspacken mit 7zip und kopieren nach
c:\Program Files (x86)\Microsoft Group Policy\Edge\PolicyDefinitions
funktioniert auch nicht.
Im Gruppenrichtlinieneditor nach Neustart desselben ist keine Änderung zu sehen.
Windows ist eine dumme Frickelei geworden.
Manuelles kopieren der ausgepackten admx-Dateien und der de-DE und en-US–Ordner aus dem zip aus dem cab in den Ordner c:\Windows\PolicyDefinitions und Neustart des Gruppenrichtlinieneditors funktioniert.
Warum diese diese Edge-und WebView2-Templates nicht in der Sammlung der "Administrative Templates" enthalten?
Jetzt hat man da so viele neue GPOs im Richtlinienditor, das man mal wieder total erschlagen wird und sich einen Wolf suchen darf.
Das sind sagenhafte 53 (dreiundfünzig) neue Ordner im Richtlinienditor mit weiteren Unterordnern und jeder Ordner ist gefüllt mit vielen Richtlinien.
Die spinnen doch total.
Ich weiß aber immer noch ncihtg, welche der neuen Richtlinien (GPO) ich wie konfigurieren muss, um die automatischen Updates zu verhindern.
Im GPO-Ordner "Microsoft-Edge-Update" finde ich keine passende Regel.
Wenn ich "Installation zulassen" deaktiviere, dann sperrt das doch nicht nur die Updates, sondern den gesamten Edge, oder nicht?
Warum gibt es da keine Regel "Updates zulassen" -> deaktivieren?
"Aktualisieren über getaktete Verbindung" kann man deaktivieren, aber das betrifft die normalen Verbindungen leider gar nicht.
Edge Beta, Edge Canary und Edge Dev betrifft mich auch nicht.
Da wurde nur ein Haufen Informationsmüll ins System gespült, aber keine Lösung bisher.
Ist es das:
"Standardeinstellung für die Überschreibung von Update-Richtlinien" -> Aktiviert -> Richtlinie aktualisieren: "Updates deaktiviert"
Damit nur die Edge-Update-Richtlinien ergänzt werden, kann man das so machen:
Extrahiere mit 7-Zip aus MicrosoftEdgePolicyTemplate.cab die Datei MicrosoftEdgePolicyTemplate.zip und packe diese auch in ein Temp-Verzeichnis aus, dann
msedgeupdate.admx nach %systemroot%\\PolicyDefinitions kopieren.
msedgeupdate.adml nach %systemroot%\\PolicyDefinitions\\de-DE kopieren.
msedgeupdate.adml nach %systemroot%\\PolicyDefinitions\\en-US kopieren.
Diese Richtline sollte das Updateverhalten regeln:
Microsoft Edge-Updates > Anwendungen > Microsoft Edge > "Überschreiben der Update-Richtlinie"
Wenn die Richtlinie greift, steht auf der Info-Seite (Hilfe und Feedback > Infos zu Microsoft Edge) "Update werden von ihrer Organisation verwaltet".
P.S. Die Ebene "-Richtlinie" gibts tatsächlich nicht im gpedit.msc auf dem Client. Ich hatte den Baum mit der Gruppenrichtlinienverwaltung auf einem Server 2022 in einer Domäne herausgeschrieben.
Da wird dann noch die Ebene "-Richtlinie" angezeigt.
P.S.2: Im Firefox braucht es zwei Backslash damit man ein Backslash im Browser angezeigt bekommt. Lese ich den Kommentar im Edge oder auf dem Handy werden zwei Backslash angezeigt, wenn zwei im Text stehen.
Den Backslash kann man auch mit html-Unicodes erzeugen, dann gibt es keine Probleme mit verschwundenen oder doppelten Backslashes:
& # 9 2 ;
( ergibt \ )
oder
& # x 5 c ;
( ergibt \ )
(jeweils eng zusammengeschrieben, also ohne die Leerzeichen.)
"Windows ist eine dumme Frickelei geworden."
Na dann sei froh, wenn du nicht in /etc/* rumfrickeln musst. Das hat echtes ZORK Flair.
Zitat:
Diese Richtline sollte das Updateverhalten regeln:
Microsoft Edge-Updates > Anwendungen > Microsoft Edge > "Überschreiben der Update-Richtlinie".
Wenn die Richtlinie greift, steht auf der Info-Seite (Hilfe und Feedback > Infos zu Microsoft Edge) "Update werden von ihrer Organisation verwaltet".
—
Bei mir leider nicht.
In Edge-Info steht:
"Updates werden gesucht"
"Microsoft Edge ist auf dem neuesten Stand"
Ich hatte vorher auch in einer Konsole die neue Richtlinie mittels gpupdate aktiviert und den Edge neu gestartet.
P.S.
Ich benutze den Edge gar nicht und will ihn auch nicht.
Ich möchte aber auch nicht, dass Windows da irgendwie ungefragt automatische Updates installiert, obwohl ich Updates ausgesetzt hatte.
Warum sind die Edge-GPOs eigentlich als cab gepackt, wenn es mit dism dann nicht kompatibel ist?
Warum sind die GPOs als zip und zusätzlich nochmal als cab gepackt? Nur als Zip würde doch völlig reichen.
Warum wurde nicht die gesamte Ordnerstruktur mitgepackt, also inklusive Windows\PolicyDefinitions\
Dann würden die Dateien beim Auspacken auch im richtigen Ordner landen bzw es wäre dann klar, wo die hin müssen.
Warum gibt es unter einen Ordner "Program Files (x86)\Microsoft Group Policy", wenn die dort abgelegten admx Dateien nicht beachtet werden?
An dem PolicyDefinitions Ordner sollte man nur rumspielen, wenn man weiß, was man da tut. Diese Dateien steuern nämlich tatsächlich das Verhalten von Windows, so ähnlich wie der init-deamon oder systemd von Linux, der das System vorbereitet und initialisiert. Wenn da was aufgrund fehlerhafter Dateien schief geht, ist guter Rat eine Neuinstallation.
Ich habe es jetzt nochmals auf einem Win10 Pro Rechner nachvollzogen der nicht Mitglied einer Domäne ist.
Das steht dann auf dem Info-Bildschirm unterhalb der Versionsinfo bei aktivierter Richtlinie "Überschreiben der Update-Richtlinie" = "Update deaktivuert":
"Es wurden Update-Richtlinien konfiguriert, werden aber ignoriert, da dieses Gerät nicht der Domäne angehört".
Ausser Spesen nichts gewesen. MS will das nicht. Dabei musste wohl noch extra Code geschrieben werden, damit dieses Feature dann ohne Domänenmitgliedschaft nicht greift. Bitte entschuldige, wusste ich auch noch nicht.
Wenn du ihn nicht benutzt, braucht dich das nicht zu kümmern. Sei lieber froh, dass TROTZDEM die Updates eingespielt werden. Denn in diversen Windows-Programmen siehst du in der Bedien-Oberfläche Inhalte, die aus HTML gerendert werden, und drei mal darfst du raten, wer das macht…
WebView2 wird benutzt von:
– New Outlook
– MS Office 365
– Visual Studio
– Zoom
– Steam und vermutlich auch andere Game-Launcher und Shops
– diverse Audials-Software (zB Audials One seit v2023, Audials Music, Audials Vision etc)
– ProtonVPN
Das ist auch der Grund, warum ProtonVPN nicht mehr unter Windows 7 funktioniert, denn dort war das letzte kompatible WebView2 Build 109.0.1518.140 von ca Januar 2023.
Eigentlich völlig unnötig, dass eine VPN-Software einen WebViewer benutzt.
OpenVPN kommt schließlich auch ohne WebView2 aus und kann sogar die selben Zugangsdaten von ProtonVPN benutzen.
– Suche (Win11 ohne extra gestartete Anwendung!)
– Dell SupportAssist
[Einfach mal im Task-Manager nach msedgewebview2.exe suchen…]
#Bolko
————————————————————–
Wie also kommen der aktuelle Edge und das aktuelle WebView2 automatisch und ungefragt auf das System und warum wird das nicht im Updateverlauf geloggt?
siehe Computerverwaltung-System-Aufgabenplanung-Aufgabenplanungsbibliothek:
MicrosoftEdgeUpdateTaskMachineUA{GUID}
MicrosoftEdgeUpdateTaskMachineCore{GUID}
und siehe Computerverwaltung-Dienste und Anwendungen-Dienste:
Microsoft Edge Update Service (edgeupdate)
Microsoft Edge Update Service (edgeupdatem)
Microsoft Edge Elevation Service (MicrosoftEdgeElevationService)
—————————————————————–
Wie kann man diese heimlichen Installationen sperren?
Deaktiviere unter: Computerverwaltung-System-Aufgabenplanung-Aufgabenplanungsbibliothek:
MicrosoftEdgeUpdateTaskMachineUA{GUID}
MicrosoftEdgeUpdateTaskMachineCore{GUID}
und folgendes unter Computerverwaltung-Dienste und Anwendungen-Dienste
beide Dienste bei/unter Start auf deaktiviert umstellen:
Microsoft Edge Update Service (edgeupdate)
Microsoft Edge Update Service (edgeupdatem)
–nach jedem manuellen Edge Update von dir dieses zu wiederholen, es sei!
— da es.. bei jedem Edge-Update von MS mit zurückgesetzt wird.
Damit hast du den Nagel auf den Kopf getroffen.
2 Tasks und 3 Dienste.
Für Google-Software (Chrome, Earth) ist es ähnlich.
Bei mir gibt es sogar 5 Google-Updater-Tasks und 3 Dienste.
Allerdings ist es wohl doch besser, das WebView2 automatisch aktuell halten zu lassen, weil das von zu vielen Programmen benutzt wird.
Aber sehr gut zu wissen, woran das automatische Update gelegen hat.
Darum ging es mir.
Danke.
Dafür ist der Kommentarbereich in diesem Blog einfach unschlagbar.
Dir ist aber schon klar, dass wenn du Edge-Updates wirkungsvoll blockierst, dass dann irgendwann dein Windows und viele Programme, Apps usw. (siehe z.B. Liste von Bolko) nicht mehr funktionieren werden, weil der zugrunde liegende Edge zu alt ist? Man sollte nicht an Sachen rumschrauben, wovon man keine Ahnung hat. Man muss dem System ermöglichen, alle Systemkomponenten aktuell zu halten. Nur weil du Edge nicht benutzen möchtest, was vollkommen in Ordnung ist, bedeutet das nicht, dass er nicht systemweit und von Apps usw. nicht benötigt wird. Kannst ja gerne Chrome verwenden und dich auch von Google bei deinen Surfgeschichten beschnüffeln lassen.
#Froschkönig
—————————-
Don't Worry Be Happy!
—————————-
Aber mach dir keine Sorgen, denn die {Edge-Update-Einstellungen} werden etwas später {regelmäßige wöchentliche Windows Updates} wieder funktionieren da auch bei jedem Win-Update solche Änderungen stets mit zurückgesetzt werden!
Interessant, ich hatte da wirklich eine alte Edge Version noch drin. Was ich aber viel seltsamer finde: was macht Edge in Program Files (x86)? Das Ding ist doch eine 64-Bit-Anwendung?
Interessante Entdeckung! Habe das mal geprüft und ist bei mir genauso.
Laut Deskmodder hat Microsoft das wohl von Google/Chrome x64 übernommen.
[ https://www.deskmodder.de/phpBB3/viewtopic.php?t=31557 ]