Edge-Passwort-Klartext: Microsoft dreht eine Kehrtwende - und erklärt sie auch gleich weg
Sicherheitsforscher Tom Jøran Sønstebyseter Rønning hatte öffentlich aufgedeckt, dass Edge beim Start alle gespeicherten Passwörter im Klartext in den RAM lädt.
Microsoft bezeichnete das zunächst als erwartetes Verhalten innerhalb des eigenen Bedrohungsmodells - wie wir bereits berichtet hatten.
Jetzt wird das Verhalten geändert: Edge lädt Passwörter künftig nicht mehr beim Start in den Arbeitsspeicher.
Das Update ist bereits im Edge Canary live und kommt mit Build 148 in alle anderen Kanäle - kein manueller Eingriff nötig.
Was sich ändert - und was Microsoft trotzdem nicht zugeben will
Der Fix ist simpel und direkt: Edge lädt gespeicherte Passwörter nicht mehr proaktiv beim Programmstart in den Speicher. Bisher passierte das im Hintergrund, ohne dass Nutzer es bemerkten - und ohne dass es dafür einen unmittelbaren Grund gab.
Microsoft nennt das in seinem offiziellen Blogpost eine "Defense-in-Depth"-Maßnahme. Die Botschaft dahinter ist klar: Wir machen es freiwillig besser, nicht weil wir einen Fehler gemacht haben. Der Konzern bleibt dabei, dass das ursprüngliche Verhalten technisch korrekt war - weil ein Angreifer ohnehin bereits vollen Gerätezugriff bräuchte, um die Passwörter aus dem RAM auszulesen.
Das ist formal nicht falsch. Aber die Frage ist nicht nur, ob ein Angriff möglich ist - sondern ob man Passwörter ohne Notwendigkeit im Klartext im Speicher lassen sollte. Und da war die Antwort offenbar doch nicht so eindeutig, wie Microsoft zunächst behauptete.
Microsofts Erklärung klingt glatter als sie ist
Im Blogpost heißt es, die ursprüngliche Einschätzung basierte auf den Sicherheitskriterien des Chromium-Projekts. Microsoft will diese Kriterien als Basis beibehalten, sich aber selbst einem höheren Standard verpflichten. Klingt gut - ist aber auch eine elegante Art zu sagen, dass man zunächst den niedrigsten gemeinsamen Nenner angelegt hat.
Außerdem kündigt Microsoft an, den internen Prozess für den Umgang mit Sicherheitsforschern zu überarbeiten. Schnelligkeit, Klarheit und frühzeitiges Defense-in-Depth-Denken sollen künftig Priorität haben. Das klingt nach einer indirekten Einräumung, dass die erste Reaktion auf den Bericht von Rønning - nämlich das Abwimmeln - nicht optimal war.
Für dich als Nutzer ändert sich praktisch nichts aktiv: Das Update kommt automatisch über den normalen Edge-Updatekanal. Ab Build 148 ist das neue Verhalten in allen Edge-Versionen aktiv - Stable, Beta, Dev, Canary und dem Enterprise-Kanal Extended Stable.
Ob Microsoft hier wirklich aus Überzeugung handelt oder weil der öffentliche Druck zu groß wurde, lässt sich von außen nicht abschließend beurteilen. Dass der Konzern gerade ohnehin viel Energie in seine Windows-Sicherheitsthemen und Nutzerfeedback steckt, passt jedenfalls ins Bild. Und wer nebenbei auch Hardware-seitig unter Beobachtung steht, kann sich öffentliche Sicherheitspannen eigentlich nicht leisten.
Quelle(n)