Microsoft Edge 在 RAM 中以明文存储密码

Source: Slashdot

Findings

安全研究员 Tom Joran Sonstebyseter Ronning 发现 Microsoft Edge 会在 RAM 中以明文形式存储密码。Ronning 在使用 Edge 的密码管理器创建并保存密码后，能够转储系统内存并以明文形式检索到该密码。

问题的关键点：

• Edge 在一次验证检查期间会将 所有 已保存的密码加载到内存中，即使用户并未访问特定站点。
• 这种行为不同于 Chrome，后者仅在需要时加载对应网站的密码，并在填充后从内存中清除。
• Edge 在使用后 不会 将密码从内存中删除，使其在会话期间一直暴露。

Microsoft’s Response

Microsoft 对风险的评估持轻描淡写的态度，称在上述情形下访问浏览器数据需要设备已经被攻陷：

“Access to browser data as described in the reported scenario would require the device to already be compromised,” Microsoft said.

Ronning 反驳称，拥有管理员权限的攻击者可以转储多个已登录用户的密码，而不仅限于特权账户。

Microsoft 的官方评论：

“Design choices in this area involve balancing performance, usability, and security, and we continue to review it against evolving threats. Browsers access password data in memory to help users sign in quickly and securely — this is an expected feature of the application. We recommend users install the latest security updates and antivirus software to help protect against security threats.”