蓝点网
·
安全研究员发现Edge会将密码明文加载到内存中 微软称并非漏洞而是设计如此
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
研究人员发现,Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。微软表示这是有意设计,不视为漏洞。攻击者可通过高权限访问窃取这些凭据。相比之下,谷歌浏览器和 Brave 浏览器仅在需要时解密数据,未出现此问题。建议用户在共享设备上使用后及时登出。
🎯
关键要点
- 研究人员发现 Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。
- 微软表示这是有意设计,不视为漏洞,因此不提供漏洞研究奖金。
- 攻击者可通过高权限访问窃取这些凭据,尽管这种利用方式不构成远程攻击。
- 相比之下,谷歌浏览器和 Brave 浏览器仅在需要时解密数据,未出现此问题。
- 建议用户在共享设备上使用后及时登出,以保护自己的账号安全。
❓
延伸问答
Microsoft Edge 浏览器是如何处理用户密码的?
Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。
微软为什么不认为这是一个漏洞?
微软表示这是有意设计,因此不视为漏洞,也不提供漏洞研究奖金。
与 Microsoft Edge 相比,其他浏览器如何处理密码?
谷歌浏览器和 Brave 浏览器仅在需要时解密数据,不会将明文凭据放到内存中。
使用 Microsoft Edge 的用户应该注意什么?
建议用户在共享设备上使用后及时登出,以保护自己的账号安全。
攻击者如何利用 Microsoft Edge 的设计?
攻击者可以通过高权限访问窃取明文密码,尽管这种利用方式不构成远程攻击。
研究人员对 Microsoft Edge 的发现有什么反应?
研究人员认为微软的设计属于安全缺陷,并公开发布了漏洞和概念验证工具。
➡️
