Microsoft исправит способ хранения паролей в Edge и закроет возможность выгрузки паролей из памяти в открытом виде

В Microsoft изначально заявили, что Edge хранит пароли в памяти в виде открытого текста, так как это поведение «заложено в дизайне» (behavior as "by design"). Но после появления инструментов для раскрытия таких данных в компании поменяли свою позицию.

В рамках доработки Edge от команды Microsoft Browser Vulnerability Research в компании подтвердили, что текущая конструкция хранения паролей «соответствует ожидаемой модели угроз», поскольку она становится рискованной только в том случае, если у кого-то уже есть административный доступ к устройству пользователя. На этом этапе пользователь уже находится в безвыходном положении, поскольку Microsoft мало что может сделать с тем, кто запускает вредоносное ПО с повышенными привилегиями на ПК. Тем не менее, Microsoft признала, что это также возможность для улучшения Edge.

В Microsoft работают над приоритетным обновлением (не только над функциями на основе ИИ), которое будет развёрнуто для всех поддерживаемых сборок Edge (версия 148 и новее в каналах Stable, Beta, Dev и Canary). Патч предотвратит загрузку паролей в память в виде открытого текста. Microsoft заявила, что это изменение отражает её приверженность инициативе «Безопасное будущее» и «более широкий взгляд» на меры безопасности.

«Это означает рассмотрение не только того, соответствует ли что‑либо критериям проблемы безопасности, но и того, где мы можем уменьшить уязвимость за счёт улучшения многоуровневой защиты. В данном случае, уменьшение уязвимости паролей в памяти является практическим шагом в этом направлении, — заявили в Microsoft. В компании не раскрывают точные изменения в менеджере паролей Edge. В Microsoft продолжают заявлять, что пользователям, которые уже хранят свои пароли в Microsoft Edge, не о чем