Microsoft Edge가 RAM에 비밀번호를 Plaintext로 저장

Source: Slashdot

Findings

보안 연구원 Tom Joran Sonstebyseter Ronning은 Microsoft Edge가 RAM에 평문으로 비밀번호를 저장한다는 사실을 발견했습니다. Edge의 비밀번호 관리자를 사용해 비밀번호를 생성하고 저장한 뒤, Ronning은 시스템 메모리를 덤프하여 비밀번호를 평문으로 추출할 수 있었습니다.

문제의 핵심 포인트:

• Edge는 사용자가 특정 사이트를 방문하고 있지 않더라도 전체 저장된 비밀번호를 단일 검증 과정에서 메모리로 로드합니다.
• 이 동작은 Chrome과 다르게, Chrome은 요청 시 해당 웹사이트에 필요한 비밀번호만 로드하고 입력이 끝나면 메모리에서 삭제합니다.
• Edge는 사용 후 메모리에서 비밀번호를 삭제하지 않으며, 세션이 지속되는 동안 메모리에 남아 있게 됩니다.

Microsoft’s Response

Microsoft는 위험성을 축소하며, 보고된 시나리오대로 브라우저 데이터를 접근하려면 이미 장치가 침해된 상태여야 한다고 밝혔습니다:

“보고된 시나리오에서 브라우저 데이터에 접근하려면 해당 장치가 이미 침해된 상태여야 합니다,” 라고 Microsoft는 말했습니다.

Ronning은 관리자 권한을 가진 공격자는 특권 계정뿐만 아니라 여러 로그인된 사용자의 비밀번호를 덤프할 수 있다고 반박했습니다.

Microsoft의 공식 논평:

“이 영역의 설계 선택은 성능, 사용성 및 보안 사이의 균형을 맞추는 것이며, 우리는 진화하는 위협에 맞춰 지속적으로 검토하고 있습니다. 브라우저는 사용자가 빠르고 안전하게 로그인할 수 있도록 비밀번호 데이터를 메모리에서 접근합니다—이는 애플리케이션의 예상 기능입니다. 최신 보안 업데이트와 안티바이러스 소프트웨어를 설치하여 보안 위협으로부터 보호할 것을 권장합니다.”