Ранее исследователь безопасности Том Йоран Сёнстебисетер Реннинг публично сообщил, что браузер Microsoft Edge загружает все сохраненные пароли учетных записей в виде открытого текста непосредственно в процесс памяти при запуске. Исследователь напрямую раскрыл эту проблему, поскольку Microsoft не считает это уязвимостью и, следовательно, не планирует предоставлять вознаграждение за уязвимость исследователям безопасности.
Этот инцидент на самом деле неудивителен, ведь Google и раньше допускал подобные ошибки. И Google, и Microsoft полагают, что, когда злоумышленнику удалось получить контроль над устройством, другие меры защиты оказались неэффективными, поэтому чтение пароля учетной записи, сохраненного в памяти, с помощью самого вредоносного ПО не входит в рамки модели безопасности.
Однако Microsoft все еще готовится внести улучшения:
Команда Microsoft заявила в блоге, что на основе выявленных исследователями проблем браузер Microsoft Edge будет улучшен, чтобы пароли не загружались в память при запуске. Эта мера глубокоэшелонированной защиты будет охватывать все версии (включая бета-версии всех каналов, официальные версии и расширенные стабильные версии для предприятий).
Это улучшение в настоящее время продвигается Microsoft как приоритетное, поэтому в выпущенной версии Microsoft Edge Canary пароли больше не будут загружаться в память после запуска браузера. После выпуска официальной версии Microsoft Edge v148.0 пользователи могут установить это обновление в обычном режиме, чтобы получить улучшенные меры защиты.
Почему Microsoft изначально подумала, что это не уязвимость:
Основные соображения Google и Microsoft заключаются в том, что безопасность самого устройства является наиболее важной. В этом случае раскрытая исследователем проблема требует, чтобы программное обеспечение получило права администратора и запускало его локально для чтения данных в памяти. Этот метод эксплуатации имеет различные сценарии использования: 1. Вредоносная программа уже может получить права администратора для запуска; 2. На общем устройстве учетная запись администратора может читать другие данные, не относящиеся к учетной записи.
Microsoft заявила, что все сценарии, о которых сообщают исследователи, предполагают, что злоумышленник может контролировать устройство и что злоумышленник может запускать небезопасное программное обеспечение локально, с чем не могут справиться ни браузер, ни защитные возможности любого приложения. В модели угроз диспетчера паролей Microsoft четко указано, что физические локальные атаки и вредоносное ПО, работающее с повышенными привилегиями, не рассматриваются. Microsoft также подчеркнула, что соответствующий сценарий использования не позволяет злоумышленнику получать данные напрямую через браузер, поэтому с точки зрения браузера проблем нет.
Microsoft также объяснила проблему невыплаты бонусов исследователям:
Причина, по которой Microsoft игнорирует отчеты об уязвимостях и не предоставляет вознаграждение за уязвимости в этом отчете, заключается в том, что Microsoft принимает те же стандарты безопасности, что и проект с открытым исходным кодом Google Chromium, с точки зрения безопасности браузера. Следовательно, поскольку считается, что это недействительный отчет об уязвимостях, он, естественно, не будет предоставлять вознаграждение исследователям за уязвимость.
Однако, поскольку, например, все еще существуют проблемы с процессом связи между отчетами об уязвимостях и исследователями, этот недостаток безопасности сам по себе может быть классифицирован как улучшение, поэтому Microsoft пересмотрит способ обработки отчетов исследователей, а затем объявит об извлеченных уроках и текущих улучшениях процессов в этом отношении.