Исследователь из Норвегии Том Йоран Сёнстебисетер Рённинг обнаружил критическую уязвимость в менеджере паролей браузера Microsoft Edge. Выяснилось, что программа сохраняет учетные данные в оперативной памяти компьютера в незашифрованном виде. Это создает серьезные риски безопасности, особенно для корпоративных сетей, где сотрудники используют общие компьютеры.
Суть проблемы и реакция разработчика
Согласно результатам исследования, при запуске браузера Microsoft Edge все сохраненные пароли расшифровываются и постоянно остаются в памяти процесса, независимо от того, посещает ли пользователь соответствующие сайты. Повторная проверка, проведенная немецким изданием Heise.de, подтвердила: даже после закрытия и повторного запуска браузера данные остаются доступными для извлечения в открытом текстовом формате.
- Разработчик сообщил об ошибке в Microsoft, однако в компании заявили, что подобное поведение является «предусмотренной особенностью дизайна», а не уязвимостью.
- Рённинг планирует выпустить на платформе GitHub инструмент, демонстрирующий уязвимость, чтобы пользователи могли самостоятельно убедиться в наличии проблемы.
- Корпорация Microsoft отказалась от официальных комментариев по данному вопросу.
Мнение специалистов по кибербезопасности
Эксперты в области информационной безопасности скептически отнеслись к позиции Microsoft. Генеральный директор Beauceron Security Дэвид Шипли отметил, что объяснение компании выглядит как попытка снять с себя ответственность. По его словам, использование аргумента о «работе согласно проекту» вместо исправления ошибки свидетельствует о нежелании компании инвестировать ресурсы в повышение уровня защиты продукта.
Специалисты подчеркивают, что такая брешь в безопасности упрощает задачу киберпреступникам, занимающимся кражей данных. В то время как другие браузеры, например Google Chrome, используют систему App Bound Encryption, которая шифрует данные и предотвращает их хранение в оперативной памяти в открытом виде, Microsoft Edge оставляет данные уязвимыми даже для злоумышленников с минимальной квалификацией.
Перспективы для пользователей
Эксперты приходят к выводу, что отсутствие необходимых мер защиты в Edge связано не с техническими сложностями, а с приоритетами компании. Поскольку браузер распространяется бесплатно, разработчики не считают необходимым вкладывать дополнительные средства в его глубокую защиту, ограничиваясь базовыми параметрами. В сложившейся ситуации пользователям рекомендуется рассмотреть альтернативные менеджеры паролей, обеспечивающие более высокий уровень конфиденциальности.
