Microsoft изменит Edge: браузер перестанет загружать сохранённые пароли в память при запуске
Microsoft обновит браузер Edge, чтобы он больше не загружал сохранённые пароли в память процесса в открытом виде сразу после запуска. Ранее компания утверждала, что такое поведение является частью задуманной работы приложения, но теперь решила изменить подход после публичного раскрытия проблемы исследователем безопасности.
Исследователь также выпустил демонстрационный инструмент. При наличии прав администратора он позволял извлекать пароли из процессов Edge других пользователей. Без таких прав инструмент мог работать только с процессами Edge, запущенными тем же пользователем.
По словам Rønning, Edge оказался единственным протестированным им браузером на базе Chromium, который вёл себя таким образом. Он отдельно отметил, что Chrome использует другую схему, из-за которой извлечь сохранённые пароли простым чтением памяти процесса значительно сложнее.
Сначала Microsoft не стала признавать ситуацию проблемой безопасности. Исследователь утверждает, что после обращения в компанию получил ответ, что это поведение сделано «by design». Позже Microsoft также описывала его как ожидаемую возможность приложения. Такой подход связан с тем, что сценарий атаки с уже полученным административным контролем над устройством обычно выходит за рамки стандартной модели угроз компании.
Тем не менее Microsoft изменила позицию. Gareth Evans, руководитель направления безопасности Microsoft Edge, сообщил, что компания рассматривает изменение как дополнительную меру защиты, уменьшающую exposure паролей в памяти. Исправление уже доступно в Edge Canary и будет включено в следующий апдейт всех поддерживаемых выпусков Edge начиная с build 148 и новее.
Обновление затронет все основные каналы браузера: Stable, Beta, Dev, Canary, а также Extended Stable channel, который используют корпоративные клиенты. Для пользователей это означает, что Microsoft Edge перестанет заранее расшифровывать сохранённые пароли при старте, снижая риск их извлечения из памяти при компрометации системы.
Точные технические детали исправления Microsoft пока не раскрыла. Также не уточняется, затрагивало ли поведение все платформы, где доступен Edge, или преимущественно Windows. Нет и данных о реальных атаках, в которых этот механизм уже использовался.
При этом решение хорошо вписывается в более широкий курс Microsoft на усиление защиты своих продуктов. Ранее компания уже вводила новые механизмы безопасности в Edge и Windows, а также развивала корпоративные инструменты оценки защищённости, включая Microsoft Defender for Endpoint Secure Score. Для пользователей Edge это ещё один повод следить за обновлениями браузера и проверять его параметры, особенно если в нём хранятся пароли: базовые настройки можно посмотреть в настройках Microsoft Edge.
