微软Edge(Microsoft Edge)的密码管理器将所有用户密码以明文形式存储在内存(RAM)中,造成了严重的安全漏洞,使得本地攻击者能够轻松获取凭证。这一漏洞由挪威安全研究员汤姆·约兰·松斯特比塞特·伦宁(Tom Jøran Sønstebyseter Rønning)发现,而微软(Microsoft)确认这是蓄意的设计决定,而非偶然疏忽。用户应立即将密码从微软Edge(Microsoft Edge)迁移到专用密码管理器,因为身份验证保护几乎无法防御针对RAM的攻击。
如果你习惯在浏览器中保存密码,需要更加谨慎。一名挪威安全研究员发现微软Edge(Microsoft Edge)存在严重漏洞——密码以明文形式存储在内存中,相关演示已发布在社交媒体上。
任何具有本地访问权限的恶意用户都能轻易截获你所有已保存的密码,即使这些密码在本次会话中从未被使用过。攻击者可以直接提取并复制明文密码。汤姆·约兰·松斯特比塞特·伦宁(Tom Jøran Sønstebyseter Rønning)通过视频展示了这一过程:
微软Edge(Microsoft Edge)会将所有已保存的密码以明文加载到内存中——即便你并未使用它们。
微软Edge密码管理器的严重缺陷
该漏洞影响微软Edge(Microsoft Edge)的密码管理器。通常,密码管理器采用端到端加密,并将密码存储在云端,以便用户随处访问。当需要密码时,密码管理器会解密供使用,随后将其删除。
而微软Edge(Microsoft Edge)始终加载所有密码且不加密,这一做法既反常又危险。其他密码管理器(包括浏览器内置的)均非如此——伦宁(Rønning)表示,微软Edge(Microsoft Edge)是他测试过的唯一存在此行为的基于Chromium(Chromium)的浏览器。
微软Edge(Microsoft Edge)确实要求在密码管理器中查看密码时进行身份验证,但攻击者只需读取RAM即可获取密码,因此这种防护作用甚微。
这是有意为之还是漏洞
伦宁(Rønning)显然将发现报告给了微软(Microsoft),并得到了意料之外的回应。据ITavisen(ITavisen)报道,微软Edge(Microsoft Edge)的密码管理行为“是蓄意的设计决定,而非漏洞”。目前尚不清楚这种设计对用户有何益处。
伦宁(Rønning)仍决定公开警告用户,并计划在GitHub(GitHub)上发布自己的工具,任何人都可用它检查自己的微软Edge(Microsoft Edge)密码是否以明文存储。
如果你使用微软Edge(Microsoft Edge)并在浏览器中保存了密码,应迁移到其他安全可靠的密码管理器,然后从微软Edge(Microsoft Edge)中删除所有密码。若不知从何入手,可参考PCWorld(PCWorld)推荐的密码管理器清单。
