北京
浏览器保存的密码,启动时就被明文加载进内存——这不是漏洞,是"设计如此"。安全研究员Tom Jøran Sønstebyseter Rønning在5月4日公开了这一发现:Edge内置密码管理器中的所有凭证,在浏览器启动时即被解密,并持续驻留内存,即使用户并未主动使用。
Rønning同时发布了一款概念验证工具。该工具允许具有管理员权限的攻击者从其他用户的Edge进程中转储密码;若无管理员权限,则仅能访问同一用户启动的Edge进程。他在公开披露前已向微软报告,得到的回复是:该行为"by design"(按设计如此)。
"Edge是我测试过的唯一一款这样设计的Chromium内核浏览器。"Rønning指出,"相比之下,Chrome采用的设计让攻击者难以通过简单读取进程内存来提取已保存密码。"
微软最初拒绝处理这一问题。当时微软向BleepingComputer表示,"这是应用程序的预期功能"。但本周三,微软改口宣布:未来版本的Edge将不再在启动时将已保存密码加载至内存。微软同时强调,研究员报告的场景仍属于现有威胁模型的预期范围——该模型排除了攻击者已获取设备管理控制权的情形。
微软Edge安全负责人Gareth Evans表示:"这一纵深防御变更将覆盖所有受支持的Edge版本(稳定版、测试版、开发版、金丝雀版,以及企业客户使用的扩展稳定版渠道),我们正在优先推进部署。"他补充道:"基于我们对'安全未来计划'的承诺以及客户反馈,我们正采取更广泛的视角。这意味着不仅评估某事是否达到安全问题的门槛,还关注通过纵深防御改进在何处可降低暴露风险。在此案例中,减少密码在内存中的暴露是朝该方向迈出的实际一步。"
该修复方案已在Edge金丝雀频道上线,并将纳入所有受支持Edge版本的下次更新(build 148及更新版本)。
去年,微软还为Edge引入了新的安全功能,以保护用户免受恶意扩展的侧载攻击;并在黑客开始利用Chakra JavaScript引擎的零日漏洞访问目标设备后,限制了对Edge IE模式的访问。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
