Gespeicherte Passwörter in
Microsoft Edge sollen trotz Schutzmechanismen an anderer Stelle im Klartext landen. Wie "
Heise" berichtet, geht der Hinweis auf den norwegischen Sicherheitsforscher Tom Jøran Sønstebyseter Rønning zurück. Ihm
zufolge lädt Edge gespeicherte Passwörter bereits beim Start in den Prozessspeicher, auch wenn die dazugehörigen Webseiten gar nicht geöffnet wurden und die Zugangsdaten nicht gebraucht werden.
Heikel ist das vor allem deshalb, weil Edge beim Anzeigen oder Ändern gespeicherter Passwörter weiterhin eine Authentifizierung per Windows Hello verlangt. In der Benutzeroberfläche wirken die Zugangsdaten damit geschützt. Im Hintergrund sollen sie dem Browserprozess laut Rønning aber bereits unverschlüsselt vorliegen.
Für einen Angriff wäre Zugriff auf den Arbeitsspeicher des Systems nötig, etwa über ein kompromittiertes Admin-Konto oder durch einen böswilligen Administrator. Besonders problematisch wäre das auf gemeinsam genutzten Systemen oder Terminal-Servern.
Rønning zufolge verhalten sich andere Chromium-Browser wie Google Chrome anders und entschlüsseln gespeicherte Passwörter erst dann, wenn sie tatsächlich benötigt werden. Microsoft habe das Verhalten nach seiner Meldung allerdings als bewusste Designentscheidung eingestuft. Nutzern von Edge wird deshalb geraten, gespeicherte Zugangsdaten gegebenenfalls in einem separaten Passwort-Manager zu verwalten.
(dow)
