5 月 16 日消息,科技媒体 WinAero 昨日(5 月 15 日)发布博文,报道称微软计划升级 Microsoft Edge 浏览器,调整密码管理机制,不再把已保存密码以明文形式解密后放入进程内存。
曾于本月报道,挪威安全研究员 @L1v1ng0ffTh3L4N 发现,微软 Edge 浏览器在启动后,会将所有已保存的密码以明文形式加载到内存中,导致恶意软件或黑客更容易窃取这些密码。
微软发言人随后回应称,Edge 在启动时以明文将全部密码加载到内存是设计使然,并非用户怀疑的 Bug 导致,其目的是加快终端用户的登录和认证流程:
安全与保障是 Microsoft Edge 的基石。要想在所描述的场景下窃取浏览器数据,前提是设备已经遭到入侵。
这一领域的设计选择需要在性能、可用性和安全性之间取得平衡,我们会持续根据不断变化的威胁进行评估。
浏览器在内存中访问密码数据是为了帮助用户快速、安全地登录 —— 这是应用程序的预期功能。我们建议用户安装最新的安全更新和杀毒软件,以帮助防范安全威胁。
微软最初并不打算修复这个问题,不过微软现在改变决定,微软 Edge 安全部门负责人 Gareth Evans 表示,未来更新将不再让浏览器在启动时立即把已保存密码加载进设备内存。
从推进节奏看,微软已在 Canary 频道 Microsoft Edge 中修复该问题,此外这项更新也被列为优先事项,并将并入下一轮正式版更新,有望在 Edge 148 中修复。
相关阅读:
《微软回应 Edge 在内存中明文加载所有密码:并非 Bug,设计使然》
