蓝点网
·
安全研究员发现Edge会将密码明文加载到内存中 微软称并非漏洞而是设计如此
内容提要
研究人员发现,Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。微软表示这是有意设计,不视为漏洞。攻击者可通过高权限访问窃取这些凭据。相比之下,谷歌浏览器和 Brave 浏览器仅在需要时解密数据,未出现此问题。建议用户在共享设备上使用后及时登出。
关键要点
-
研究人员发现 Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。
-
微软表示这是有意设计,不视为漏洞,因此不提供漏洞研究奖金。
-
攻击者可通过高权限访问窃取这些凭据,尽管这种利用方式不构成远程攻击。
-
相比之下,谷歌浏览器和 Brave 浏览器仅在需要时解密数据,未出现此问题。
-
建议用户在共享设备上使用后及时登出,以保护自己的账号安全。
延伸解读
Edge的设计意图与安全隐患
微软表示Edge浏览器将密码以明文形式加载到内存中是有意设计,这引发了安全研究人员的质疑。虽然微软不认为这是漏洞,但这种设计可能使得高权限用户更容易窃取其他用户的凭据,尤其是在共享设备上使用时,用户需提高警惕。
与其他浏览器的比较
与谷歌浏览器和Brave浏览器相比,Edge在密码管理上的处理方式显得不够安全。后者仅在需要时解密数据,避免了明文存储在内存中的风险。这一差异可能影响用户在选择浏览器时的安全考虑。
用户安全建议
对于使用Microsoft Edge的用户,尤其是在共享设备上,建议在使用后及时登出账户,以降低被窃取密码的风险。此外,用户应考虑使用其他浏览器,特别是在处理敏感信息时,以增强安全性。
延伸问答
Microsoft Edge 浏览器是如何处理用户密码的?
Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中,即使未使用时也会暴露。
微软为什么不认为这是一个漏洞?
微软表示这是有意设计,因此不视为漏洞,也不提供漏洞研究奖金。
与 Microsoft Edge 相比,其他浏览器如何处理密码?
谷歌浏览器和 Brave 浏览器仅在需要时解密数据,不会将明文凭据放到内存中。
使用 Microsoft Edge 的用户应该注意什么?
建议用户在共享设备上使用后及时登出,以保护自己的账号安全。
攻击者如何利用 Microsoft Edge 的设计?
攻击者可以通过高权限访问窃取明文密码,尽管这种利用方式不构成远程攻击。
研究人员对 Microsoft Edge 的发现有什么反应?
研究人员认为微软的设计属于安全缺陷,并公开发布了漏洞和概念验证工具。
