Microsoft готовит обновление для своего браузера Edge, которое предотвратит загрузку сохранённых паролей в оперативную память устройства в открытом виде. Примечательно, что ранее компания называла такое поведение «осознанным архитектурным решением, а не ошибкой».
Напомним, что уязвимость обнаружил норвежский специалист по кибербезопасности Том Йоран Сёнстебюсетер Рённинг (Tom Jøran Sønstebyseter Rønning). С помощью специальной утилиты он продемонстрировал, что любой злоумышленник, получивший локальный доступ к вашему устройству, может легко перехватить и скопировать все пароли из встроенного менеджера в Microsoft Edge. Он отмечал, что Microsoft Edge — единственный браузер на базе Chromium, в котором наблюдается такая проблема.
Изначально Microsoft отказалась устранять проблему, сославшись на то, что подобные атаки не попадают под существующую модель угроз. Эта модель исключает атаки, в которых злоумышленник уже получил права администратора на устройстве.
Однако теперь компания пересмотрела своё решение. Глава отдела безопасности Microsoft Edge Гарет Эванс (Gareth Evans) заявил, что в будущих обновлениях браузер перестанет загружать сохранённые пароли в оперативную память устройства сразу при запуске Edge.
Исправление уже доступно в сборках Microsoft Edge на канале Canary. Также оно войдёт в состав ближайшего обновления для всех поддерживаемых версий браузера, начиная с Edge 148. Разработчики заявляют, что внедрение этого исправления является приоритетной задачей.