Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Microsoft rüstet WebView2 Runtime unter Windows 10 nach

DrWindows

DrWindows

Redaktion
Microsoft rüstet WebView2 Runtime unter Windows 10 nach
von Martin Geuß
Microsoft Edge Titelbild


Die Microsoft Edge WebView2 Runtime kommt standardmäßig mit Windows 11. Unter Windows 10 lautete die Empfehlung von Microsoft bisher, dass Entwickler sie gemeinsam mit ihren Applikationen installieren sollen. Das ändert sich jetzt, denn WebView2 wird nun auch unter Windows 10 standardmäßig installiert. Wo die Runtime noch nicht vorhanden ist, wird sie automatisch nachgerüstet.

Das betrifft zunächst nur Consumer-Geräte, wie Microsoft in einem Blogpost schreibt. Genauer gesagt sind es alle nicht verwalteten und/oder nicht zu einer Domäne gehörenden PCs, die ihre Updates direkt von Microsoft erhalten. Klassische Heim-PCs gehören dazu, aber auch der beruflich genutzte PC eines Freiberuflers fällt in diese Kategorie.

Die WebView2 Runtime ist die Basis für viele moderne Webanwendungen, insofern ist es nur logisch, dass Microsoft unter Windows 10 die gleichen Verhältnisse schafft wie unter Windows 11. Vor zusätzlichem Ballast muss man sich deshalb nicht fürchten, schreibt Microsoft in der Ankündigung. Da sich die Runtime viele Binärdateien mit dem ohnehin installierten Edge-Browser teilt, wird nur minimal zusätzlicher Speicherplatz benötigt.

Der Rollout beginnt per sofort, allerdings wie immer in mehreren Wellen, wobei zunächst nur sehr wenige Geräte versorgt werden. Mit jeder Rollout-Stufe wird die Zahl der PCs, die das Update zeitgleich erhalten, erhöht werden.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Ist die Chromium-Engine dann doppelt auf dem Rechner, oder wird die von Edge mitbenutzt?

Edit:

kommt darauf an
The WebView2 Runtime and Microsoft Edge browser are “hard-linked” together, which means they only occupy the disk space of one product when they are on the same version.
Zum Vergrößern anklicken....
 
Hey, ich bin auch Freiberufler neben meinem Angestelltenverhältnis und habe ein AD UND AAD mit WSUS und WDS und so weiter. Mit Windows Enterprise bin ich dann aber sowieso raus. ;)

Was ist mit Rechnern, die ausschließlich an einem AAD hängen?
Das ist das Setup bei einigen meiner Kunden, da sie M365 Business Premium haben und sich mit diesen Konten auch am Rechner anmelden.
Die Frage bleibt tatsächlich halbwegs offen. Rechner in einem AD fallen als "managed devices" tatsächlich raus und ich würde annehmen, dass dies auch für Rechner in einem AAD gelten sollte, obwohl man da noch nicht so ganz von managed sprechen kann, solange keine Intune o.a. zum Einsatz kommt.
 
Zuletzt bearbeitet:
So ganz klar wird mir das auch nicht - Bei uns sind die Geräte auch alle in einer lokalen Domäne, aber das heißt nicht, dass wir auch ein eigenes WSUS hätten. Die Dinger ziehen sich nach Lust und Laune immer ihre Updates direkt von Microsoft. Sind das jetzt, trotz Windows Professional "Consumer devices"?
 
Persönliche Erfahrung.
Bei mir war das Ding schon als eigenständige App neben dem Edge installiert.
Das die beiden (Edge und Webview) aber zusammengehören war unübersehbar.
Da ich für die App aber keine Verwendung habe, habe ich sie wieder deinstalliert.
War problemlos möglich.Ob das so bleibt...keine Ahnung, aber wir werden sehen.
 
Ich bin etwas verwundert, dass an anderer Stelle sehr Negativ über WebView2 geschrieben wird. Es ist wohl möglich, auf die Sessions vom anderen WV2 Programmen zuzugreifen.
tarnkappe.info

Mit WebView2 die 2FA-Authentifizierung überlisten

Ausgerechnet Microsoft ermöglicht es Phishern, mithilfe des Moduls WebView2 die sichere Zwei-Faktor-Authentisierung (2FA) auszutricksen.
tarnkappe.info tarnkappe.info

Ist diese Sorge Berechtigt? Ich bitte um Einordnung.
 
mimiw schrieb:
Ist diese Sorge Berechtigt? Ich bitte um Einordnung.
Zum Vergrößern anklicken....
Um das fachlich sauber einzuordnen, fehlt mir die Kompetenz. Grundsätzlich betrachte ich Angriffe, welche die aktive Mitarbeit des Angegriffenen erfordern - und um einen solchen handelt es sich hier - aus technischer Sicht als weniger gefährlich. Wenn sich jemand erst einmal das Vertrauen einer Person erschlichen hat, muss man es vielleicht nicht mal so kompliziert machen, sondern lässt sich den Autorisierungscode gleich am Telefon durchgeben.
Wenn darunter als Tipp auch noch steht "kein Windows nutzen, anderswo gibt es das Problem nicht", dann fällt es mir endgültig schwer, den Autor für voll zu nehmen. Er darf diese Meinung haben, völlig ok, aber mit solchen Aussagen qualifiziert man sich in aller Regel selbst ab.
 
Es gibt durchaus berechtigte zweifel ob Webview2 sicher ist, es gibt sicherlich bessere Alternativen als Webview2, aber nichts ist zu 100% Sicher, die Gefahr besteht immer das eine Sicherheitskomponente durch Fremdeinwirkung kompromittiert wird.

Der Artikel ist einfach nur schlecht beschrieben.

www.netzwelt.de

WebView2-Cookie-Stealer: Neue Phishing-Methode missbraucht Microsoft-Anwendung

Ein Sicherheitsforscher zeigt, wie Cyberkriminelle mit einer neuen Phishing-Methode Microsoft WebView2-Anwendungen ausnutzen können, um an eure Login-Daten gelangen können.
www.netzwelt.de www.netzwelt.de
Die Attacke ist allerdings nur möglich, wenn euch vorab ein bösartiges Programm untergejubelt wurde, mit dem die Hacker die WebView2-Datei ausführen können. Die Verbreitung kann über Mail-Anhänge, Cracks oder andere illegale Downloads stattfinden. Vermeidet daher den Besuch von dubiosen Seiten und öffnet Mails und Links nicht leichtsinnig.
Zum Vergrößern anklicken....
 
The clear trade-off is a binary must be executed on the host machine and the user must enter the credentials into the application.
Zum Vergrößern anklicken....
One may ask,if an application needs to be executed why not simply execute shellcode and gain remote access? Of course you can. But depending on someone’s need they may require something beyond remote access for example executing JavaScript on a target website.
Zum Vergrößern anklicken....

Attacking With WebView2 Applications | mr.d0x

Security Research | C:\Users\mr.d0x>
mrd0x.com mrd0x.com

Kann also nichts was nicht jedes andere lokal ausgeführte Programm könnte.
 
PeterK schrieb:
Der Artikel ist einfach nur schlecht beschrieben.

www.netzwelt.de

WebView2-Cookie-Stealer: Neue Phishing-Methode missbraucht Microsoft-Anwendung

Ein Sicherheitsforscher zeigt, wie Cyberkriminelle mit einer neuen Phishing-Methode Microsoft WebView2-Anwendungen ausnutzen können, um an eure Login-Daten gelangen können.
www.netzwelt.de www.netzwelt.de
Zum Vergrößern anklicken....

Dieser Artikel auf jeden Fall. Bei meinem Link ist der Seitenhieb am Ende natürlich auch etwas übertrieben - kein Windows benutzten.

Aber das Problem scheint zu sein, dass eine Anwendung prinzipiell auf die WebView2-Daten anderer Anwendungen zugreifen kann. Wenn ich nun in meine "Taschenrechner App" den Code unauffällig einbaue, kann ich andere Accounts übernehmen. Da muss ich keine Dubiose Seite zur Verbreitung nutzen. Ein Link über alternativeto.net würde ja schon reichen, um Leute, die meine App ausprobieren zu finden.

Aber gut - andererseits könnnte jedes von dort geladene Programm meine Festplatte verschlüsseln.
Programme aus dem Web haben ja immer den Vollzugriff.
 
Ich schätze mal das WebView2-Runtime schon stabil und sicher funktioniert, in Windows 11 ist es ja bereits mit vorinstalliert und kann auch nicht mehr deinstalliert werden wodurch es ein teil des Systems ist.
Deskmodder beschreibt es hier ganz gut Microsoft Edge WebView2 und die Windows 10 Apps es juckt mich ehrlich gesagt auch nicht weiter, da ich den Edge kaum bis gar nicht verwende, damit komme ich zwar nicht in den Genuss dieser tollen Apps aber ehrlich gesagt kann ich da auch gern drauf verzichten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben