Brskalnik Edge ne bo več nalagal nezaščitenih gesel v pomnilnik

Sprememba je posledica odziva na varnostno ranljivost, ki jo je raziskovalec razkril v začetku maja. Čeprav je Microsoft ukrepanje sprva zavračal, je pod pritiskom strokovne javnosti in v luči novih varnostnih pobud le spremenil svoje stališče ter napovedal popravek, ki bo odstranil tveganje iz vseh podprtih različic brskalnika.

Nenavadno delovanje brskalnika je 4. maja razkril varnostni raziskovalec Tom Jøran Sønstebyseter Rønning. Dokazal je namreč, da so se vse poverilnice, shranjene v vgrajenem upravitelju gesel brskalnika Edge, ob zagonu dešifrirale in nato zadrževale v pomnilniku, četudi jih uporabnik takrat sploh ni potreboval. Rønning je javno objavil tudi testno orodje (PoC), ki napadalcem s skrbniškimi pravicami omogoča pridobivanje gesel iz procesov brskalnika Edge drugih uporabnikov. Brez skrbniških pravic je s tem orodjem mogoče dostopati le do procesov tistega uporabnika, ki je brskalnik sam zagnal.

Raziskovalec je težavo pred javno objavo uradno prijavil Microsoftu, vendar so mu takrat odgovorili, da je takšno delovanje povsem običajno in del zasnove. Izpostavil je, da je Edge edini preizkušeni brskalnik na osnovi Chromiuma, ki se obnaša na tak način, medtem ko Google Chrome uporablja zasnovo, ki napadalcem znatno oteži pridobivanje gesel s preprostim branjem procesnega pomnilnika. Medij BleepingComputer je od Microsofta prav tako sprva prejel odgovor, da gre za pričakovano lastnost aplikacije.

Kljub začetnemu odporu pa je Microsoft kasneje uradno naznanil, da prihodnje različice brskalnika Edge ob zagonu ne bodo več nalagale shranjenih gesel v pomnilnik. To so storili kljub temu, da prijavljeni scenarij tehnično sodi izven njihovega obstoječega modela groženj, saj ta model izključuje napade, pri katerih ima napadalec že popoln skrbniški nadzor nad napravo.

Gareth Evans, vodja varnosti za Microsoft Edge, je pojasnil, da bo ta varnostna sprememba uvedena v vse podprte različice brskalnika (Stable, Beta, Dev, Canary in Extended Stable). Dodal je, da v okviru pobude za varno prihodnost (Secure Future Initiative) in na podlagi povratnih informacij strank zdaj zadeve ocenjujejo v širšem kontekstu. Popravek je trenutno že aktiviran v kanalu Edge Canary, vsem ostalim uporabnikom pa bo na voljo z naslednjo posodobitvijo (od različice 148 dalje). Microsoft je sicer že lani uvedel funkcijo za zaščito pred zlonamernimi razširitvami ter omejil dostop do načina Internet Explorer, potem ko so napadalci izkoriščali ranljivosti ničelnega dne v pogonu Chakra JavaScript.