近日,挪威网络安全研究员 Tom J?ran S?nstebyseter R?nning 发现,微软 Edge 浏览器会将用户保存的密码以明文形式存储在计算机内存中。这意味着,如果攻击者能够获得对该计算机的访问权限(例如通过共享管理员账户),就有可能窃取所有已保存的密码。
R?nning 指出,在他测试过的所有基于 Chromium 的浏览器中,Edge 是唯一表现出这种行为的浏览器。在向微软报告此问题后,他被告知该行为属于“设计使然”。他进一步解释,Edge 在启动时会解密所有用户凭据,无论用户是否打算访问使用这些凭据的网站。
然而,要利用此漏洞并非易事。攻击者需要获得终端设备的管理员权限——这本身已构成严重的安全入侵。但一旦获得权限,攻击者“就可以访问所有已登录用户进程的内存”。
有观点认为,攻击者若已拥有管理员权限,本身就足以对系统造成严重破坏。但现实情况是,许多 PC 用户默认就拥有其账户的管理员权限。更值得关注的是,其他密码管理器或两步验证机制通常需要额外输入密码或验证信息才能访问。而 Edge 以明文保存密码的行为,正如 International Cyber Digest 所指出的:“在共享环境下,这变成了凭据收割。”
事实上,这一问题并非首次被发现。去年,研究员 @LopezLucio666 就曾向微软报告过相同问题。微软当时的回应是:“经过仔细调查,此案被评估为非漏洞且不涉及安全问题,不符合微软即时服务的标准。”
文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系多特删除。(联系邮箱:[email protected])
相关阅读
近期热点
最新资讯
举报