In den letzten Tagen hat eine Meldung die Runde gemacht, dass der Microsoft Edge Passwörter in Klartext im RAM beim Start des Browsers ablegt, sodass sie ausgelesen werden können. Microsoft hat diese Variante jetzt korrigiert.
Das Laden von Passwörtern beim Start wird jetzt nicht mehr vorgenommen und diese Änderung betrifft alle Versionen vom Edge. Ab sofort im Edge Canary und im Edge Stable dann mit dem kommenden Update der Version 148. Ihr müsst also nichts unternehmen.
Microsoft stellt aber auch klar, dass niemand gefährdet war. Oder anders gesagt, ein Angreifer hatte keine neue Möglichkeit, an Passwörter heranzukommen.
„Der Grund dafür ist, dass das gemeldete Szenario einen Angreifer voraussetzt, der bereits die Kontrolle über das Gerät des Benutzers hat. Sobald der Angreifer unsichere Software lokal als Administrator ausführen kann, liegt die Situation außerhalb der Schutzmöglichkeiten des Browsers (oder jeder anderen Anwendung). Das Bedrohungsmodell für unseren Passwort-Manager stellt ausdrücklich klar, dass physische lokale Angriffe und Malware, die mit erhöhten Berechtigungen ausgeführt wird, nicht in den Anwendungsbereich fallen, und das gilt für jeden modernen Browser.“
Alle Microsoft Edge Downloads auch Insider:
- Microsoft Edge Stable (Windows, macOS, iOS, Android) microsoft.com/de-de/edge
- Canary, Dev, Beta (Windows, macOS)microsoftedgeinsider.com/de-de/download/,
- Business: Microsoft Edge Stable, Beta und Dev (Windows, macOS: microsoft.com/de-de/edge/business
- Die portablen Versionen: Portable Edge Updater
- Android: play.google.com/microsoft.emmx
- iOS: apps.apple.com/microsoft-edge
Muss man dazu nicht physischen Zugang zum PC haben?
P.S.: Steht ja auch weiter unten im Artikel.