Auf den Punkt: Microsoft wird seinen Edge-Browser aktualisieren, um gespeicherte Passwörter nicht mehr beim Start im Speicher zu halten. Dies geschieht nach Druck von Sicherheitsforschern und Kunden, obwohl Microsoft die Praxis zunächst als beabsichtigt verteidigte.
Nach anfänglichem Widerstand verspricht Microsoft, seinen Edge-Browser zu aktualisieren und damit aufzuhören, gespeicherte Passwörter beim Start unverschlüsselt in den Arbeitsspeicher zu laden. Dies geschieht nach Enthüllung einer Sicherheitslücke durch einen Forscher.
Ein Sicherheitsforscher hat aufgedeckt, dass Microsofts Edge-Browser beim Start alle gespeicherten Passwörter entschlüsselt und dauerhaft im Speicher behält – auch wenn diese nicht aktiv verwendet werden. Tom Jøran Sønstebyseter Rønning veröffentlichte im Mai ein Proof-of-Concept-Tool, das es Angreifern mit Administrator-Rechten ermöglicht, Passwörter aus anderen Edge-Prozessen auszulesen. Microsoft reagierte zunächst defensiv und bezeichnete das Verhalten als „beabsichtigte Funktionalität”. Rønning beobachtete, dass Edge unter allen getesteten Chromium-basierten Browsern das einzige ist, das sich auf diese Weise verhält. Google Chrome nutzt hingegen ein Sicherheitsdesign, das es deutlich schwerer macht, Passwörter einfach durch das Auslesen des Speichers zu stehlen. Unter dem Druck von Kundenfeedback kündigte Microsoft am Mittwoch an, dass zukünftige Edge-Versionen die Passwörter nicht mehr beim Start in den Speicher laden werden. Dies geschieht über alle unterstützten Kanäle hinweg – Stable, Beta, Dev, Canary und Extended Stable für Unternehmenskunden. Microsofts Edge-Security-Lead Gareth Evans betonte, dass diese Verbesserung der Verteidigungstiefe dem Engagement des Unternehmens gegenüber der „Secure Future Initiative” entspricht und auf breiterem Kundenfeedback basiert. Die Reparatur ist bereits im Edge Canary-Kanal verfügbar und wird in kommenden Updates ab Build 148 ausgerollt.