In den letzten Tagen hat eine Meldung die Runde gemacht, dass der Microsoft Edge Passwörter in Klartext im RAM beim Start des Browsers ablegt, sodass sie ausgelesen werden können. Microsoft hat diese Variante jetzt korrigiert.
Das Laden von Passwörtern beim Start wird jetzt nicht mehr vorgenommen und diese Änderung betrifft alle Versionen vom Edge. Ab sofort im Edge Canary und im Edge Stable dann mit dem kommenden Update der Version 148. Ihr müsst also nichts unternehmen.
Microsoft stellt aber auch klar, dass niemand gefährdet war. Oder anders gesagt, ein Angreifer hatte keine neue Möglichkeit, an Passwörter heranzukommen.
„Der Grund dafür ist, dass das gemeldete Szenario einen Angreifer voraussetzt, der bereits die Kontrolle über das Gerät des Benutzers hat. Sobald der Angreifer unsichere Software lokal als Administrator ausführen kann, liegt die Situation außerhalb der Schutzmöglichkeiten des Browsers (oder jeder anderen Anwendung). Das Bedrohungsmodell für unseren Passwort-Manager stellt ausdrücklich klar, dass physische lokale Angriffe und Malware, die mit erhöhten Berechtigungen ausgeführt wird, nicht in den Anwendungsbereich fallen, und das gilt für jeden modernen Browser.“
Alle Microsoft Edge Downloads auch Insider:
- Microsoft Edge Stable (Windows, macOS, iOS, Android) microsoft.com/de-de/edge
- Canary, Dev, Beta (Windows, macOS)microsoftedgeinsider.com/de-de/download/,
- Business: Microsoft Edge Stable, Beta und Dev (Windows, macOS: microsoft.com/de-de/edge/business
- Die portablen Versionen: Portable Edge Updater
- Android: play.google.com/microsoft.emmx
- iOS: apps.apple.com/microsoft-edge

Muss man dazu nicht physischen Zugang zum PC haben?
P.S.: Steht ja auch weiter unten im Artikel.
Da irrt Microsoft.
Man braucht keinen physischen Zugang zum PC.
Es reicht, wenn man sich irgendeine Schadsoftware eingefangen hat, die den RAM-Inhalt ausliest.
Bzw. nicht einmal den RAM muss man auslesen.
Es reicht, wenn man den PC in den Ruhezustand bringt.
Dabei wird der komplette RAM-Inhalt auf die Festplatte geschrieben und die Malware muss das nur auslesen.
Wobei in dem Fall, wie du ihn beschreibst, ist eh schon alles zu spät.
Nicht ganz.
Die Passwörter kennt ja normalerweise niemand.
Hier liegen die im Klartext vor und damit ist der Schaden noch größer als er eh schon ist.
Es sind ja dann auch alle Onlinezugänge kompromittiert.
Ziemliche Verkettung von unwahrscheinlichen Umständen. Wie immer.
Sagen wir mal so: Das gehört so nicht und scheint ja auch bei anderen modernen Browsern nicht der Fall zu sein, wenn man diese Klartextablage nur beim Edge entdeckt hat.
Daher hat Microsoft das auch korrigiert, Argumentation hin oder her.
Mit dem nächsten Update ist das dann Schnee von gestern.
Persönlich nutze ich keine Passwortmanager im Browser, daher ist mir das schnurz piep.
Ja, wenn die PW-Manager mal auf Win/Android/iOS/Linux top funktionieren würden.
Hab je unter Win/Android/Linux den Edge und Chrome alle mit denselben PWs im Sync. läuft top
Mit den PW Manager geht immer was nicht richtig.
Ich nutze einfach KeepassXC (Windows) und KeepassDX (Android) und vom Rest lass ich die Finger.
Natürlich braucht man physischen Zugriff zum PC. Wie soll denn bitte sonst eine Schadsoftware den kompletten RAM-Inhalt von der Festplatte lesen, wenn der PC im Ruhezustand ist?
Eben. Logik.
hat das mal einer getestet?
taskmanager ohne adminrechte starten,
speicher dump erstellen, passwörter suchen.
edge fragt nach zugang wenn man im passwortmanager rumwerkelt,
aber nicht, wenn man auf einer entsprechenden seite das passwort via autofill eingetragen wird.
machen andere browser auch so…