蓝点网
·
微软宣布Microsoft Edge不再将密码以明文形式加载到内存中 但仍然不认为这是漏洞
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
微软决定改进Edge浏览器,避免在启动时将保存的密码以明文加载到内存中。此改进已在金丝雀版中实施,覆盖所有版本。微软承认需加强安全防护,并计划改善与研究人员的沟通流程。
🎯
关键要点
-
微软决定改进Edge浏览器,避免在启动时将保存的密码以明文加载到内存中。
-
此改进已在金丝雀版中实施,覆盖所有版本,包括测试版和正式版。
-
微软承认需加强安全防护,并计划改善与研究人员的沟通流程。
-
微软最初认为此问题不是漏洞,因为攻击者需获得管理员权限才能读取内存数据。
-
微软的密码管理器威胁模型不考虑物理本地攻击和以提升权限运行的恶意软件。
-
微软不会为漏洞报告提供奖金,因为其认为该报告无效,并采用与谷歌相同的安全标准。
❓
延伸问答
微软为什么决定改进Edge浏览器的密码管理?
微软决定改进Edge浏览器是因为研究人员曝光了密码以明文形式加载到内存中的问题,微软希望加强安全防护。
这项改进会影响哪些版本的Edge浏览器?
这项改进将覆盖所有版本的Edge浏览器,包括测试版和正式版。
微软为何认为最初的问题不是漏洞?
微软认为该问题不是漏洞,因为攻击者需要获得管理员权限才能读取内存数据,且在这种情况下其他安全防御措施已失效。
微软对漏洞报告的处理态度是什么?
微软忽略了漏洞报告,并表示不会为此提供奖金,因为他们认为该报告无效。
微软计划如何改善与研究人员的沟通?
微软计划重新审视处理研究人员报告的方式,并将公布经验教训和流程改进。
Edge浏览器的安全防护措施有哪些改进?
Edge浏览器的安全防护措施改进为在启动时不再将保存的密码以明文加载到内存中。
➡️
