Microsoft Edge перестанет загружать пароли в память при запуске

Microsoft вносит изменение в Edge, чтобы браузер больше не загружал сохраненные пароли в память процесса в открытом виде при запуске. Ранее компания заявляла, что такое поведение «предусмотрено дизайном».

О проблеме 4 мая сообщил исследователь безопасности Том Йоран Сенстебюсетер Реннинг (Tom Joran Sonstebyseter Ronning). Он продемонстрировал, что все учетные данные, сохраненные во встроенном менеджере паролей Edge, расшифровываются при запуске браузера и остаются в памяти даже если не используются.

Реннинг также опубликовал инструмент «доказательства концепции», который позволяет злоумышленникам с правами администратора извлекать пароли из процессов Edge других пользователей (без прав администратора PoC позволяет получать доступ только к процессам Edge, запущенным тем же пользователем).

Он также сообщил, что уведомил Microsoft о проблеме, однако компания ответила ему, что такое поведение «предусмотрено дизайном», прежде чем исследователь раскрыл информацию публично.

Исследователь заявил:

Edge — единственный браузер на базе Chromium из протестированных мной, который ведет себя подобным образом. Для сравнения, Chrome использует архитектуру, значительно усложняющую извлечение сохраненных паролей простым чтением памяти процесса.

Хотя изначально Microsoft отказалась устранять проблему, на этой неделе компания объявила, что будущие версии Edge больше не будут загружать сохраненные пароли в память при запуске, несмотря на то, что описанный сценарий соответствует существующей модели угроз (которая не учитывает атаки, при которых злоумышленник уже получил административный контроль над устройством).

Руководитель направления безопасности Microsoft Edge Гарет Эванс (Gareth Evans) заявил:

Данное изменение в рамках стратегии defense-in-depth появится во всех поддерживаемых версиях Edge (Stable, Beta, Dev, Canary, а также на канале Extended Stable, который используют корпоративные клиенты), и мы уже приоритизировали его распространение.

В рамках нашей инициативы Secure Future Initiative и с учетом отзывов клиентов мы стали шире смотреть на подобные вопросы. Это означает, что мы оцениваем не только соответствует ли проблема критериям уязвимости безопасности, но и рассматриваем, где можно дополнительно снизить риски с помощью механизмов defense-in-depth. В данном случае уменьшение присутствия паролей в памяти является практическим шагом в этом направлении.

Исправление уже доступно на канале Edge Canary и войдет в следующее обновление для всех поддерживаемых версий Edge (сборки 148 и новее).

В прошлом году Microsoft также представила новую функцию безопасности Edge для защиты пользователей от вредоносных расширений, загружаемых в браузер в обход официального магазина, а также ограничила доступ к режиму Internet Explorer в Edge после того, как хакеры начали использовать эксплойты нулевого дня в JavaScript-движке Chakra для получения доступа к устройствам пользователей.