✔Edge больше не будет хранить пароли в памяти процесса в открытом виде - «Новости»

20 мая 2026 0 Новости / Преимущества стилей / Видео уроки / Вёрстка / Самоучитель CSS / Отступы и поля / Текст / Изображения / Заработок / Линии и рамки 0

Все началось с того, что ИБ-специалист Том Йоран Сонстебисетер Реннинг (Tom Jøran Sønstebyseter Rønning) публично раскритиковал компанию за небезопасное поведение браузера.

В начале мая Реннинг сообщил, что при запуске Edge каждый раз расшифровывает все сохраненные учетные данные и загружает их в память в открытом виде (даже если пользователь вообще не обращается к встроенному менеджеру паролей). Исследователь подчеркивал, что среди всех Chromium-браузеров такое поведение уникально и присуще именно Edge.

По словам специалиста, Chrome устроен иначе и лучше защищает пароли от атак через дамп памяти процессов. Для демонстрации проблемы Реннинг даже опубликовал PoC-инструмент, позволяющий извлекать пароли из процессов Edge. То есть, если злоумышленник уже получил права администратора на устройстве жертвы, он может извлечь учетные данные других пользователей. Отмечалось, что без привилегий администратора атака ограничивается процессами текущего пользователя.

Исследователь писал, что заранее уведомил представителей Microsoft о проблеме, однако в компании заявили, что такое поведение обусловлено «особенностью архитектуры» приложения. Позднее в Microsoft подтвердили эту позицию и сообщили журналистам издания BleepingComputer, что обнаруженное Реннингом поведение браузера является ожидаемым.

Однако спустя несколько дней представители компании все же изменили свое решение. Руководитель направления безопасности Microsoft Edge Гарет Эванс (Gareth Evans) сообщил, что будущие версии браузера перестанут автоматически загружать сохраненные пароли в память при старте.

По словам Эванса, хотя описанный исследователем сценарий формально не является уязвимостью и укладывается в существующую модель угроз Microsoft (модель не учитывает ситуации, когда атакующий уже получил административный доступ к устройству), в компании решили внедрить дополнительную защиту.

«Мы стали шире смотреть на вопросы безопасности. Теперь речь идет не только о том, соответствует ли проблема критериям уязвимости, но и о том, где можно дополнительно уменьшить поверхность атаки», — пояснил Эванс.

Исправление уже доступно в Edge Canary, и в ближайшем будущем оно распространится на все поддерживаемые версии браузера, начиная со сборки 148.

После критики со стороны ИБ-исследователей разработчики Microsoft решили изменить поведение браузера Edge, которое компания изначально называла «особенностью работы приложения». Теперь браузер не будет загружать все сохраненные пароли в память при запуске. Все началось с того, что ИБ-специалист Том Йоран Сонстебисетер Реннинг (Tom Jøran Sønstebyseter Rønning) публично раскритиковал компанию за небезопасное поведение браузера. В начале мая Реннинг сообщил, что при запуске Edge каждый раз расшифровывает все сохраненные учетные данные и загружает их в память в открытом виде (даже если пользователь вообще не обращается к встроенному менеджеру паролей). Исследователь подчеркивал, что среди всех Chromium-браузеров такое поведение уникально и присуще именно Edge. По словам специалиста, Chrome устроен иначе и лучше защищает пароли от атак через дамп памяти процессов. Для демонстрации проблемы Реннинг даже опубликовал PoC-инструмент, позволяющий извлекать пароли из процессов Edge. То есть, если злоумышленник уже получил права администратора на устройстве жертвы, он может извлечь учетные данные других пользователей. Отмечалось, что без привилегий администратора атака ограничивается процессами текущего пользователя. Исследователь писал, что заранее уведомил представителей Microsoft о проблеме, однако в компании заявили, что такое поведение обусловлено «особенностью архитектуры» приложения. Позднее в Microsoft подтвердили эту позицию и сообщили журналистам издания BleepingComputer, что обнаруженное Реннингом поведение браузера является ожидаемым. Однако спустя несколько дней представители компании все же изменили свое решение. Руководитель направления безопасности Microsoft Edge Гарет Эванс (Gareth Evans) сообщил, что будущие версии браузера перестанут автоматически загружать сохраненные пароли в память при старте. По словам Эванса, хотя описанный исследователем сценарий формально не является уязвимостью и укладывается в существующую модель угроз Microsoft (модель не учитывает ситуации, когда атакующий уже получил административный доступ к устройству), в компании решили внедрить дополнительную защиту. «Мы стали шире смотреть на вопросы безопасности. Теперь речь идет не только о том, соответствует ли проблема критериям уязвимости, но и о том, где можно дополнительно уменьшить поверхность атаки», — пояснил Эванс. Исправление уже доступно в Edge Canary, и в ближайшем будущем оно распространится на все поддерживаемые версии браузера, начиная со сборки 148.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.