一位挪威網路安全研究員近日發現,微軟Edge瀏覽器會將用戶保存的密碼以明文形式儲存在內存中。這意味著,只要攻擊者能夠獲得電腦的訪問權限(例如通過共享管理員賬戶),就有可能竊取所有已保存的密碼。
該研究員Tom Jøran Sønstebyseter Rønning表示:「在我測試過的所有基於Chromium的瀏覽器中,Edge是唯一一個表現出這種行為的產品。」
Rønning在向微軟報告這一問題後被告知,該行為屬於「設計使然」。他進一步解釋,Edge瀏覽器在啟動時會解密所有憑據,無論用戶是否會訪問使用這些憑據的網站。
不過,要利用這一漏洞並非易事。攻擊者需要獲得終端伺服器的管理員訪問權限——這本身已經構成嚴重的安全入侵。但一旦獲得權限,攻擊者「就可以訪問所有已登錄用戶進程的內存」。
有觀點認為,如果攻擊者已經獲得了管理員權限,本身就足以對系統造成嚴重破壞。但現實情況是,許多PC用戶默認就擁有其賬戶的管理員權限。
更關鍵的是,其他密碼管理器或兩步驗證機制通常需要額外輸入密碼或驗證資訊才能訪問。而Edge以明文保存密碼的行為,正如International Cyber Digest所指出的:「在共享環境下,這變成了憑據收割。」
事實上,這一問題並非首次被發現。去年,研究員@LopezLucio666就曾向微軟報告相同問題。微軟當時回應稱:「經過仔細調查,此案被評估為非漏洞且不涉及安全問題,不符合微軟即時服務的標準。」
