Microsofts Edge legt alle Passwörter unverschlüsselt im RAM ab
Ein Sicherheitsforscher hat eine kritische Schwachstelle in Microsofts Browser Edge aufgedeckt: Alle gespeicherten Passwörter werden bereits beim Start des Browsers entschlüsselt und im Klartext im Arbeitsspeicher abgelegt.
Im Vergleich dazu verfolgt Google Chrome einen deutlich restriktiveren Ansatz: Dort werden Passwörter nur bei Bedarf entschlüsselt, etwa beim automatischen Ausfüllen von Formularen. Zusätzlich schützt Chrome diese Daten durch eine sogenannte App-gebundene Verschlüsselung, die verhindert, dass andere Prozesse auf die Entschlüsselungsschlüssel zugreifen können.
Edge hingegen verzichtet auf solche Schutzmechanismen. Sobald der Browser gestartet ist, befinden sich alle Zugangsdaten im Klartext im Speicher und sind somit ein potenzielles Ziel für Angreifer, die Zugriff auf den Prozess erhalten.
Besonders heikel ist die Situation in Mehrbenutzerumgebungen wie Terminalservern oder auf Remote-Desktop-Systemen. Dort könnten Angreifer mit Administratorrechten den Speicher mehrerer gleichzeitig angemeldeter Nutzer auslesen. In einer Demo gelang es, Passwörter aus den Sitzungen mehrerer Nutzer zu extrahieren, selbst wenn deren Sitzungen lediglich im Hintergrund liefen.
Microsoft wurde über die Problematik informiert, stuft das Verhalten jedoch als "beabsichtigt" ein. Laut Unternehmensangaben falle der Zugriff auf Prozessspeicher bei lokalen Angriffen nicht in das Bedrohungsmodell des Browsers. Das heißt, dass Nutzer hier nicht mit einer baldigen Änderung rechnen können.
Download Google Chrome - Schneller und sicherer Browser
Siehe auch:
Satte Beute für Angreifer
Die Entdeckung wurde kürzlich vom Sicherheitsexperten Tom Jøran Sønstebyseter Rønning in Norwegen veröffentlicht. Der Forscher hatte systematisch mehrere Chromium-basierte Browser untersucht, um deren Umgang mit Zugangsdaten im Speicher zu analysieren. Dabei fiel Edge als einziger Browser auf, der sämtliche gespeicherten Zugangsdaten sofort und dauerhaft im Klartext im Prozessspeicher hält.Im Vergleich dazu verfolgt Google Chrome einen deutlich restriktiveren Ansatz: Dort werden Passwörter nur bei Bedarf entschlüsselt, etwa beim automatischen Ausfüllen von Formularen. Zusätzlich schützt Chrome diese Daten durch eine sogenannte App-gebundene Verschlüsselung, die verhindert, dass andere Prozesse auf die Entschlüsselungsschlüssel zugreifen können.
Edge hingegen verzichtet auf solche Schutzmechanismen. Sobald der Browser gestartet ist, befinden sich alle Zugangsdaten im Klartext im Speicher und sind somit ein potenzielles Ziel für Angreifer, die Zugriff auf den Prozess erhalten.
Microsoft wiegelt ab
Besonders widersprüchlich erscheint dies vor dem Hintergrund, dass Edge in seiner Benutzeroberfläche weiterhin eine erneute Authentifizierung verlangt, bevor Passwörter angezeigt werden. Diese Schutzmaßnahme bietet jedoch laut Analyse lediglich eine trügerische Sicherheit, da die Daten im Hintergrund längst zugänglich sind.Besonders heikel ist die Situation in Mehrbenutzerumgebungen wie Terminalservern oder auf Remote-Desktop-Systemen. Dort könnten Angreifer mit Administratorrechten den Speicher mehrerer gleichzeitig angemeldeter Nutzer auslesen. In einer Demo gelang es, Passwörter aus den Sitzungen mehrerer Nutzer zu extrahieren, selbst wenn deren Sitzungen lediglich im Hintergrund liefen.
Microsoft wurde über die Problematik informiert, stuft das Verhalten jedoch als "beabsichtigt" ein. Laut Unternehmensangaben falle der Zugriff auf Prozessspeicher bei lokalen Angriffen nicht in das Bedrohungsmodell des Browsers. Das heißt, dass Nutzer hier nicht mit einer baldigen Änderung rechnen können.
Download Google Chrome - Schneller und sicherer Browser
Zusammenfassung
- Microsoft Edge speichert alle Passwörter unverschlüsselt im Arbeitsspeicher ab
- Ein norwegischer Sicherheitsforscher entdeckte die kritische Lücke im Browser
- Google Chrome entschlüsselt Passwörter nur bei Bedarf und nutzt zusätzlichen Schutz
- Edge verzichtet auf App-gebundene Verschlüsselung und Schutzmechanismen
- Die Authentifizierungsabfrage in Edge erzeugt nur trügerische Sicherheit
- Besonders in Mehrbenutzerumgebungen sind Passwörter aus Sitzungen abgreifbar
- Microsoft stuft das Verhalten als beabsichtigt ein und plant keine Änderung
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
Beiträge aus dem Forum
Interessante Links & Themenseiten
Beliebte Windows 8 FAQ Einträge
Neue Nachrichten
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen