蓝点网
·
微软宣布Microsoft Edge不再将密码以明文形式加载到内存中 但仍然不认为这是漏洞
内容提要
微软决定改进Edge浏览器,避免在启动时将保存的密码以明文加载到内存中。此改进已在金丝雀版中实施,覆盖所有版本。微软承认需加强安全防护,并计划改善与研究人员的沟通流程。
关键要点
-
微软决定改进Edge浏览器,避免在启动时将保存的密码以明文加载到内存中。
-
此改进已在金丝雀版中实施,覆盖所有版本,包括测试版和正式版。
-
微软承认需加强安全防护,并计划改善与研究人员的沟通流程。
-
微软最初认为此问题不是漏洞,因为攻击者需获得管理员权限才能读取内存数据。
-
微软的密码管理器威胁模型不考虑物理本地攻击和以提升权限运行的恶意软件。
-
微软不会为漏洞报告提供奖金,因为其认为该报告无效,并采用与谷歌相同的安全标准。
延伸解读
安全防护的局限性
微软在处理安全漏洞时,强调设备本身的安全性是首要考虑。这意味着在攻击者已获得管理员权限的情况下,浏览器的防御能力被认为无效。这种思维方式可能导致用户在使用浏览器时忽视潜在的安全风险,尤其是在共享设备上。
与研究人员的沟通改进
微软承认与安全研究人员的沟通存在问题,未来将重新审视处理漏洞报告的流程。这一改进可能有助于提升安全防护措施的有效性,同时也能增强研究人员对微软安全政策的信任。
行业标准的影响
微软与谷歌在安全标准上保持一致,这意味着两者在处理类似安全问题时可能采取相似的态度。这种行业标准化虽然有助于统一安全防护措施,但也可能导致对某些漏洞的忽视,用户需对此保持警惕。
延伸问答
微软为什么决定改进Edge浏览器的密码管理?
微软决定改进Edge浏览器是因为研究人员曝光了密码以明文形式加载到内存中的问题,微软希望加强安全防护。
这项改进会影响哪些版本的Edge浏览器?
这项改进将覆盖所有版本的Edge浏览器,包括测试版和正式版。
微软为何认为最初的问题不是漏洞?
微软认为该问题不是漏洞,因为攻击者需要获得管理员权限才能读取内存数据,且在这种情况下其他安全防御措施已失效。
微软对漏洞报告的处理态度是什么?
微软忽略了漏洞报告,并表示不会为此提供奖金,因为他们认为该报告无效。
微软计划如何改善与研究人员的沟通?
微软计划重新审视处理研究人员报告的方式,并将公布经验教训和流程改进。
Edge浏览器的安全防护措施有哪些改进?
Edge浏览器的安全防护措施改进为在启动时不再将保存的密码以明文加载到内存中。
