Der Schritt erfolgt, nachdem der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning am 4. Mai enthüllte, dass alle im integrierten Passwortmanager von **Edge** gespeicherten Anmeldeinformationen beim Start entschlüsselt und im Speicher gehalten wurden, auch wenn sie nicht verwendet wurden. Dies stellte einen potenziellen Angriffsvektor für böswillige Akteure mit ausreichenden Berechtigungen dar. ## Proof-of-Concept und erste Reaktion Rønning veröffentlichte auch ein Proof-of-Concept (PoC)-Tool, das auf [GitHub](https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper) verfügbar ist. Es demonstriert, wie Angreifer mit Administratorrechten Passwörter aus den **Edge**-Prozessen anderer Benutzer auslesen konnten. Ohne Admin-Rechte ermöglicht das PoC den Zugriff auf **Edge**-Prozesse, die vom selben Benutzer gestartet wurden. Er meldete das Problem an **Microsoft**, erhielt jedoch die Antwort, dass das Verhalten "by design" sei. "**Edge** ist der einzige Chromium-basierte Browser, den ich getestet habe und der sich so verhält. Im Gegensatz dazu verwendet Chrome ein Design, das es Angreifern erheblich erschwert, gespeicherte Passwörter durch einfaches Auslesen des Prozessspeichers zu extrahieren", erklärte Rønning. ## Die Kehrtwende Obwohl **Microsoft** die Praxis zunächst verteidigte, hat das Unternehmen nun angekündigt, dass zukünftige Versionen von **Edge** gespeicherte Passwörter beim Start nicht mehr in den Speicher laden werden. Diese Entscheidung fällt, obwohl das gemeldete Szenario in **Microsoft**s bestehendem Bedrohungsmodell liegt, das Angriffe ausschließt, bei denen ein Angreifer bereits die administrative Kontrolle über ein Gerät hat. "Diese Defense-in-Depth-Änderung wird in allen unterstützten Versionen von **Edge** (Stable, Beta, Dev, Canary und dem Extended Stable Channel, den unsere Unternehmenskunden nutzen) eingeführt, und wir priorisieren die Bereitstellung", sagte Gareth Evans, Security Lead von **Microsoft Edge**, in einem [Blogbeitrag](https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-werechanging-and-why/). "Mit unserem Engagement für die Secure Future Initiative und Kundenfeedback betrachten wir die Dinge aus einer breiteren Perspektive. Das bedeutet, nicht nur zu prüfen, ob etwas die Hürde für ein Sicherheitsproblem erfüllt, sondern auch, wo wir die Exposition durch Defense-in-Depth-Verbesserungen reduzieren können. In diesem Fall ist die Reduzierung der Exposition von Passwörtern im Speicher ein praktischer Schritt in diese Richtung." ## Verfügbarkeit Die Korrektur ist bereits im **Edge** Canary-Kanal live und wird in der nächsten Aktualisierung für alle unterstützten **Edge**-Releases (Build 148 und neuer) enthalten sein. ## Weitere aktuelle Sicherheitsverbesserungen in Edge Im letzten Jahr führte **Microsoft** auch eine neue **Edge**-Sicherheitsfunktion ein, um Benutzer vor bösartigen Erweiterungen zu schützen, die in den Webbrowser eingeschleust werden. Der Zugriff auf den Internet Explorer-Modus von **Edge** wurde eingeschränkt, nachdem Hacker begannen, zero-day exploits in der Chakra JavaScript-Engine auszunutzen, um auf Zielgeräte zuzugreifen. <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)