News-Bote
Ich bring die Post
Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem
Microsoft Edge legt Passwörter, die im Passwort-Manager des Browsers gespeichert sind, als Klartext im Arbeitsspeicher ab. Das passiert sogar dann, wenn man die zugehörige Webseite gar nicht besucht. Microsoft sieht hierin allerdings kein Sicherheitsproblem.
Entdeckt hat das Verhalten der norwegische Sicherheitsexperte Tom Jøran Sønstebyseter Rønning (via itavisen.no). Demnach legt Microsoft Edge alle(!) gespeicherten Passwörter bereits beim Start des Browsers als Klartext im Arbeitsspeicher ab. Generiert man mit dem Windows Task Manager eine Speicherabbilddatei, enthält diese alle Passwörter im lesbaren Format. Die Redaktion von heise hat das erfolgreich nachgestellt.
Die Tatsache, dass man sich in Microsoft Edge via Windows Hello authentifizieren muss, um auf die im Kennwortmanager gespeicherten Passwörter zuzugreifen, wirkt somit wie eine rein kosmetische Maßnahme.
Rønning zeigt in seinem auf X veröffentlichten Video sogar, wie Administratoren an einem Terminal-Server auf diese Weise die Passwörter von anderen Nutzern auslesen können.
Die Vermutung liegt zunächst nahe, dass dies ein Problem sein könnte, welches alle Chromium-basierten Browser betrifft. Das hat Rønning ebenfalls getestet und festgestellt, dass Microsoft Edge dieses „Feature“ exklusiv für sich hat. Google Chrome entschlüsselt Passwörter lediglich dann, wenn sie wirklich gebraucht werden, und nutzt dabei App-Bound Encryption (ABE). Diese bindet die Entschlüsselung an einen authentifizierten Chrome-Prozess und verhindert, dass andere Prozesse die Verschlüsselungsschlüssel erneut verwenden können.
Nachdem Rønning die Schwachstelle an Microsoft gemeldet hatte, erhielt er von dort eine überraschende Antwort. Das sei kein Fehler, sondern eine bewusste Design-Entscheidung. Die Anerkennung als Sicherheitslücke mit entsprechender Prämie über das Bug Bounty Programm blieb dem Entdecker somit verwehrt. Änderungen sind laut Microsoft nicht vorgesehen.
Wetten, dass sich das rasch ändert, wenn dieses Thema jetzt durch die Medien geht?
Der Beitrag Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem erschien zuerst auf Dr. Windows.
zum Artikel...
Microsoft Edge legt Passwörter, die im Passwort-Manager des Browsers gespeichert sind, als Klartext im Arbeitsspeicher ab. Das passiert sogar dann, wenn man die zugehörige Webseite gar nicht besucht. Microsoft sieht hierin allerdings kein Sicherheitsproblem.
Entdeckt hat das Verhalten der norwegische Sicherheitsexperte Tom Jøran Sønstebyseter Rønning (via itavisen.no). Demnach legt Microsoft Edge alle(!) gespeicherten Passwörter bereits beim Start des Browsers als Klartext im Arbeitsspeicher ab. Generiert man mit dem Windows Task Manager eine Speicherabbilddatei, enthält diese alle Passwörter im lesbaren Format. Die Redaktion von heise hat das erfolgreich nachgestellt.
Die Tatsache, dass man sich in Microsoft Edge via Windows Hello authentifizieren muss, um auf die im Kennwortmanager gespeicherten Passwörter zuzugreifen, wirkt somit wie eine rein kosmetische Maßnahme.
Rønning zeigt in seinem auf X veröffentlichten Video sogar, wie Administratoren an einem Terminal-Server auf diese Weise die Passwörter von anderen Nutzern auslesen können.
Chrome macht es anders
Die Vermutung liegt zunächst nahe, dass dies ein Problem sein könnte, welches alle Chromium-basierten Browser betrifft. Das hat Rønning ebenfalls getestet und festgestellt, dass Microsoft Edge dieses „Feature“ exklusiv für sich hat. Google Chrome entschlüsselt Passwörter lediglich dann, wenn sie wirklich gebraucht werden, und nutzt dabei App-Bound Encryption (ABE). Diese bindet die Entschlüsselung an einen authentifizierten Chrome-Prozess und verhindert, dass andere Prozesse die Verschlüsselungsschlüssel erneut verwenden können.
Microsoft sagt: Das muss so
Nachdem Rønning die Schwachstelle an Microsoft gemeldet hatte, erhielt er von dort eine überraschende Antwort. Das sei kein Fehler, sondern eine bewusste Design-Entscheidung. Die Anerkennung als Sicherheitslücke mit entsprechender Prämie über das Bug Bounty Programm blieb dem Entdecker somit verwehrt. Änderungen sind laut Microsoft nicht vorgesehen.
Wetten, dass sich das rasch ändert, wenn dieses Thema jetzt durch die Medien geht?
Der Beitrag Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem erschien zuerst auf Dr. Windows.
zum Artikel...