原文:Microsoft Edge: Passwords end up in memory as plaintext
密码管理器应该帮助安全可靠地存储登录凭据,从而减轻用户的“记忆工作”。此外,这些实用的助手可以超越设备边界,在智能手机、台式机和笔记本电脑上平等地管理登录数据。通常,它们以端到端加密方式存储在云中。密码也只能在内存中短时间解密。然而,Microsoft Edge 浏览器中的密码管理器在这里失败了。
广告后继续
Tom Jøran Sønstebyseter Rønning 在 X 上的一篇帖子中提请注意该问题。一个简单的测试证实了该漏洞。在 Microsoft Edge 中启用密码管理器后,我们创建了一个密码为“Klartext-PW-Test”的帐户。若要查看、检索或更改此数据,Microsoft Edge 需要使用 Windows Hello 进行身份验证。这使得数据看起来受到了很好的保护。
为了进行验证,我们关闭了浏览器并重新启动了 Microsoft Edge。然后 Edge 仅显示其起始页。现在,可以使用任务管理器创建浏览器的内存转储。驱动器上最终存有大约 670 MB 的内容。在内部,使用十六进制编辑器对“Klartext”进行简单搜索,返回整个“Klartext-PW-Test”密码 - 该密码甚至尚未使用,但它在内存中以明文形式存在。
不安全的密码处理
长期以来,这种在进程内存中处理密码的方式都不是最先进的。根据常见的安全概念,密码只能在使用时解密,并在使用后不久从内存中删除。事实上,微软甚至将所有密码加载到内存中,即使使用它们的网站甚至没有被访问过,这也是一个明显的时代错误。这属于其漏洞类别:CWE-316,“内存中敏感信息的明文存储”。微软应该尽快纠正这个问题。然而,Itavisen.no 报道称,Rønning 收到了微软关于该漏洞报告的回复,称这是一个有意识的设计