安全研究员 Tom Jøran Sønstebyseter Rønning 发现,Microsoft Edge 启动时会将所有已保存的密码解密并明文加载到内存,在整个会话期间保持明文,即使用户从未访问需要这些凭证的网站。该行为在此前测试的其它 Chromium 浏览器中均未出现,Chrome 仅在需要时解密密码且配合应用绑定加密。
攻击者若获得管理员权限,即可读取 Edge 进程内存,甚至提取终端服务器上其他登录用户的密码。微软回应称该就是这样设计的。
Cybernews
🌸 在花频道 · 茶馆讨论 · 投稿通道
Cybernews
Microsoft Edge writes passwords to memory in cleartext: a gift for attackers
Microsoft Edge “by design” keeps all saved user passwords unencrypted in RAM for the entire session.
via 科技圈🎗在花频道📮 - Telegram Channel
