5 月 6 日消息:近日,一名挪威安全研究员曝出重大安全问题——微软 Edge 浏览器被发现会将用户保存的所有密码以明文形式存放在进程内存中,带来极高的账号信息泄露风险。
该研究员是渗透测试领域专家,网名Tom Jøran Sønstebyseter Rønning。他在测试147.0.3912.98版本Edge浏览器时发现,软件启动瞬间就会解密用户全部已保存密码。这些密码全程以明文形式驻留在内存中,即使用户全程未访问需要相关登录信息的网站,也不会被清除。
这一行为在主流浏览器中极为罕见。在他测试的所有基于Chromium内核的浏览器里,Edge是唯一采取该设计的产品。同为Chromium内核的谷歌Chrome浏览器,仅在自动填充或用户主动查看时,才会解密对应单条密码,使用后立即清除明文数据。
Chrome还配套了应用绑定加密技术,将解密操作与认证后的浏览器进程绑定,大幅提升攻击门槛。
Edge的设计让密码防护形同虚设。即便浏览器在密码管理界面要求用户重新认证才能查看密码,也无法阻止攻击者通过读取内存获取全部明文密码。只需获取设备本地访问权限,攻击者通过简单的内存转储操作,就能批量窃取用户所有账号密码。在共享终端服务器等场景中,攻击者甚至能读取其他已登录用户、断开连接但仍保留活跃会话用户的密码数据。
该研究员已将问题上报给微软。微软明确回应,这一行为是刻意的设计决策,并非程序漏洞。微软称,该设计是为了优化用户登录时的性能体验,属于预期内的功能。
对于相关安全风险,微软表示,攻击成立的前提是设备已被入侵,建议用户及时更新系统补丁、规避恶意程序。
目前,该研究员已公开相关概念验证演示。他还计划在GitHub发布检测工具,供普通用户自查风险。
业内安全人士建议,Edge用户应尽快将密码迁移至专业第三方密码管理器,同时删除浏览器内保存的所有密码,规避信息泄露风险。
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
