Microsoft Edge bewaart wachtwoorden onversleuteld in geheugen

In dit artikel:

De Noorse beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning meldt op X dat Microsoft Edge tijdens het opstarten alle in de browser opgeslagen wachtwoorden ontsleutelt en in het procesgeheugen achterlaat, ook als de betreffende sites niet bezocht worden. Gebruikers moeten nog wel authenticeren om de wachtwoordmanager te openen, maar de gegevens liggen al in plaintext in het geheugen van het browserproces. Rønning zegt dat dit gedrag niet voorkomt bij andere Chromium-browsers zoals Chrome. Hij rapporteerde het aan Microsoft, dat volgens hem reageerde dat het een keuze is ("by design"). Rønning publiceerde bovendien een tool waarmee wachtwoorden uit het Edge-procesgeheugen gelezen kunnen worden.

De kwetsbaarheid betekent dat lokale aanvallers of malware met toegang tot het systeemprocesgeheugen opgeslagen wachtwoorden kunnen oogsten. Als voorzorgsmaatregel kunnen gebruikers overwegen wachtwoordbeheer uit te schakelen in de browser en over te stappen op een externe, gespecialiseerde wachtwoordmanager of strikt toegangsbeheer en up-to-date beveiligingssoftware te gebruiken.