Edge больше не будет хранить пароли в памяти процесса в открытом виде - «Новости» » Интернет технологии
sitename
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Edge больше не будет хранить пароли в памяти процесса в открытом виде - «Новости»

После критики со стороны ИБ-исследователей разработчики Microsoft решили изменить поведение браузера Edge, которое компания изначально называла «особенностью работы приложения». Теперь браузер не будет загружать все сохраненные пароли в память при запуске.


Все началось с того, что  ИБ-специалист Том Йоран Сонстебисетер Реннинг (Tom Jøran Sønstebyseter Rønning) публично раскритиковал компанию за небезопасное поведение браузера.


В начале мая Реннинг сообщил, что при запуске Edge каждый раз расшифровывает все сохраненные учетные данные и загружает их в память в открытом виде (даже если пользователь вообще не обращается к встроенному менеджеру паролей). Исследователь подчеркивал, что среди всех Chromium-браузеров такое поведение уникально и присуще именно Edge.


По словам специалиста, Chrome устроен иначе и лучше защищает пароли от атак через дамп памяти процессов. Для демонстрации проблемы Реннинг даже опубликовал PoC-инструмент, позволяющий извлекать пароли из процессов Edge. То есть, если злоумышленник уже получил права администратора на устройстве жертвы, он может извлечь учетные данные других пользователей. Отмечалось, что без привилегий администратора атака ограничивается процессами текущего пользователя.


Исследователь писал, что заранее уведомил представителей Microsoft о проблеме, однако в компании заявили, что такое поведение обусловлено «особенностью архитектуры» приложения. Позднее в Microsoft подтвердили эту позицию и сообщили журналистам издания BleepingComputer, что обнаруженное Реннингом поведение браузера является ожидаемым.


Однако спустя несколько дней представители компании все же изменили свое решение. Руководитель направления безопасности Microsoft Edge Гарет Эванс (Gareth Evans) сообщил, что будущие версии браузера перестанут автоматически загружать сохраненные пароли в память при старте.


По словам Эванса, хотя описанный исследователем сценарий формально не является уязвимостью и укладывается в существующую модель угроз Microsoft (модель не учитывает ситуации, когда атакующий уже получил административный доступ к устройству), в компании решили внедрить дополнительную защиту.


«Мы стали шире смотреть на вопросы безопасности. Теперь речь идет не только о том, соответствует ли проблема критериям уязвимости, но и о том, где можно дополнительно уменьшить поверхность атаки», — пояснил Эванс.


Исправление уже доступно в Edge Canary, и в ближайшем будущем оно распространится на все поддерживаемые версии браузера, начиная со сборки 148.


После критики со стороны ИБ-исследователей разработчики Microsoft решили изменить поведение браузера Edge, которое компания изначально называла «особенностью работы приложения». Теперь браузер не будет загружать все сохраненные пароли в память при запуске. Все началось с того, что ИБ-специалист Том Йоран Сонстебисетер Реннинг (Tom Jøran Sønstebyseter Rønning) публично раскритиковал компанию за небезопасное поведение браузера. В начале мая Реннинг сообщил, что при запуске Edge каждый раз расшифровывает все сохраненные учетные данные и загружает их в память в открытом виде (даже если пользователь вообще не обращается к встроенному менеджеру паролей). Исследователь подчеркивал, что среди всех Chromium-браузеров такое поведение уникально и присуще именно Edge. По словам специалиста, Chrome устроен иначе и лучше защищает пароли от атак через дамп памяти процессов. Для демонстрации проблемы Реннинг даже опубликовал PoC-инструмент, позволяющий извлекать пароли из процессов Edge. То есть, если злоумышленник уже получил права администратора на устройстве жертвы, он может извлечь учетные данные других пользователей. Отмечалось, что без привилегий администратора атака ограничивается процессами текущего пользователя. Исследователь писал, что заранее уведомил представителей Microsoft о проблеме, однако в компании заявили, что такое поведение обусловлено «особенностью архитектуры» приложения. Позднее в Microsoft подтвердили эту позицию и сообщили журналистам издания BleepingComputer, что обнаруженное Реннингом поведение браузера является ожидаемым. Однако спустя несколько дней представители компании все же изменили свое решение. Руководитель направления безопасности Microsoft Edge Гарет Эванс (Gareth Evans) сообщил, что будущие версии браузера перестанут автоматически загружать сохраненные пароли в память при старте. По словам Эванса, хотя описанный исследователем сценарий формально не является уязвимостью и укладывается в существующую модель угроз Microsoft (модель не учитывает ситуации, когда атакующий уже получил административный доступ к устройству), в компании решили внедрить дополнительную защиту. «Мы стали шире смотреть на вопросы безопасности. Теперь речь идет не только о том, соответствует ли проблема критериям уязвимости, но и о том, где можно дополнительно уменьшить поверхность атаки», — пояснил Эванс. Исправление уже доступно в Edge Canary, и в ближайшем будущем оно распространится на все поддерживаемые версии браузера, начиная со сборки 148.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: